Cinq nouvelles faiblesses de sécurité ont été divulguées dans le BIOS de Dell qui, si elles sont exploitées avec succès, pourraient conduire à l’exécution de code sur les systèmes vulnérables, rejoignant ainsi les vulnérabilités de firmware récemment découvertes dans InsydeH2O d’Insyde Software et dans l’interface UEFI (Unified Extensible Firmware Interface) de HP.
Répertoriées sous les noms de CVE-2022-24415, CVE-2022-24416, CVE-2022-24419, CVE-2022-24420 et CVE-2022-24421, ces vulnérabilités de haute gravité sont notées 8,2 sur 10 dans le système de notation CVSS.
« L’exploitation active de toutes les vulnérabilités découvertes ne peut pas être détectée par les systèmes de surveillance de l’intégrité des microprogrammes en raison des limitations de la mesure du module de plateforme de confiance (TPM)« , a déclaré dans un communiqué la société de sécurité des microprogrammes Binarly, qui a découvert les trois dernières failles.
« Les solutions d’attestation de santé des appareils à distance ne détecteront pas les systèmes affectés en raison des limitations de conception de la visibilité du runtime du firmware.«
Toutes les failles sont liées à des vulnérabilités de validation d’entrée incorrecte affectant le mode de gestion du système (SMM) du firmware, permettant effectivement à un attaquant local authentifié de tirer parti de l’interruption de gestion du système (SMI) pour obtenir une exécution de code arbitraire.
Le mode de gestion du système fait référence à un mode spécial du CPU dans les microcontrôleurs x86, conçu pour gérer les fonctions du système telles que la gestion de l’alimentation, le contrôle du matériel du système, la surveillance thermique et d’autres codes propriétaires développés par le fabricant.
Chaque fois que l’une de ces opérations est demandée, une interruption non masquable (SMI) est invoquée au moment de l’exécution, qui exécute le code SMM installé par le BIOS. Étant donné que le code SMM s’exécute au niveau de privilège le plus élevé et qu’il est invisible pour le système d’exploitation sous-jacent, la méthode est propice aux abus pour déployer des implants de micrologiciels persistants.
Un certain nombre de produits Dell, notamment les gammes Alienware, Inspiron et Vostro, ainsi que la série Edge Gateway 3000, sont concernés. Le fabricant de PC, dont le siège est au Texas, recommande à ses clients de mettre à jour leur BIOS « dès que possible ».
« La découverte continue de ces vulnérabilités démontre ce que nous décrivons comme des ‘échecs répétables’ autour du manque d’assainissement des entrées ou, en général, des pratiques de codage non sécurisées« , ont déclaré les chercheurs de Binarly.
« Ces défaillances sont une conséquence directe de la complexité de la base de code ou de la prise en charge de composants hérités qui font l’objet de moins d’attention en matière de sécurité, mais qui sont encore largement déployés sur le terrain. Dans de nombreux cas, la même vulnérabilité peut être corrigée sur plusieurs itérations, et pourtant, la complexité de la surface d’attaque laisse des brèches ouvertes pour une exploitation malveillante.«