Les chercheurs de la société Binarly ont découvert des vulnérabilités critiques dans le microprogramme UEFI d'InsydeH2O utilisé par de nombreux fournisseurs d'ordinateurs tels que Fujitsu, Intel, AMD, Lenovo, Dell, ASUS, HP, Siemens, Microsoft et Acer.

Le logiciel UEFI (Unified Extensible Firmware Interface) est une interface entre le micrologiciel d'un périphérique et le système d'exploitation, qui gère le processus de démarrage, les diagnostics du système et les fonctions de réparation.

Au total, Binarly a trouvé 23 failles dans le microprogramme UEFI de l'InsydeH2O, la plupart d'entre elles dans le mode de gestion du système (SMM) du logiciel, qui fournit plusieurs fonctions telles que la gestion de l'alimentation et le contrôle du matériel.

Dix des vulnérabilités découvertes pourraient être exploitées pour une élévation de privilèges, douze failles de corruption de mémoire dans SMM, et une vulnérabilité de corruption de mémoire dans Driver eXecution Environment (DXE) d'InsydeH2O.

Les plus graves parmi ces problèmes c’est les CVE-2021-45969, CVE-2021-45970 et CVE-2021-45971 du SMM qui ont reçu un score CSSV de 9,8 sur 10.

Plus précisément, un attaquant local ou distant disposant de privilèges administratifs et exploitant les failles de SMM pourrait effectuer les tâches suivantes :

· Invalider de nombreuses fonctions de sécurité matérielle (SecureBoot, Intel BootGuard) ;

· Installer des logiciels persistants qui ne peuvent pas être facilement effacés;

· Créer des portes dérobées et des canaux de communication dérobés pour voler des données sensibles.

"Tous les fournisseurs susmentionnés (plus de 25) utilisaient le SDK de firmware basé sur Insyde pour développer leurs morceaux de firmware (UEFI)", note la société. Pour l'instant, le centre de coordination CERT des États-Unis a confirmé que trois fournisseurs avaient des produits affectés par les problèmes de sécurité découverts dans le micrologiciel InsydeH2O : Fujitsu, Insyde Software Corporation et Intel (uniquement CVE-2020-5953).

Insyde Software a publié des mises à jour de firmware pour corriger toutes les vulnérabilités de sécurité identifiées et a publié des bulletins détaillés pour attribuer une gravité et une description pour chaque faille.

Cependant, ces mises à jour de sécurité doivent être adoptées par les fabricants d'équipements originaux (OEM) et poussées vers les produits concernés, et donc l'ensemble du processus prendra un temps considérable pour que les mises à jour de sécurité atteignent les utilisateurs finaux.