Une vulnérabilité affectant plusieurs modèles d'ordinateurs portables Acer pourrait permettre à un attaquant de désactiver la fonction Secure Boot et de contourner les protections de sécurité pour installer des logiciels malveillants.

Tracée sous le nom de CVE-2022-4020 (score CVSS de 8.1), la vulnérabilité a été identifiée dans le pilote HQSwSmiDxe DXE, et qui peut permettre à un attaquant disposant de privilèges élevés de modifier et désactiver les paramètres UEFI Secure Boot en modifiant une variable NVRAM 'BootOrderSecureBootDisable'.

Selon le fabricant d'ordinateurs, les modèles d'appareils concernés sont les Aspire A315-22, A115-21 et A315-22G, ainsi que les Extensa EX215-21 et EX215-21G.

Au début du mois de novembre l’entreprise de sécurité informatique ESET a signalé un problème similaire, CVE-2022-3431, une vulnérabilité dans le pilote DXE BootOrderDxe de certains ordinateurs portables Lenovo qui, tout comme le pilote DXE HQSwSmiDxe, vérifie l'existence d'une variable BootOrderSecureBootDisable et désactive Secure Boot si elle existe.

Acer travaille sur une mise à jour du BIOS pour résoudre ce problème. La société de cybersécurité tire la sonnette d'alarme, en demandant aux utilisateurs de garder un œil sur les correctifs.