Les failles du BIOS mettent Intel, Lenovo et bien d'autres en danger

Les utilisateurs de Windows qui utilisent Lenovo, Intel et d'autres PC n'apprécieront pas l'annonce d'une vulnérabilité du BIOS.

Les failles, qui peuvent être exploitées pour obtenir le contrôle administratif total d'un système cible, ont été découvertes par la société de protection des micrologiciels Binarly.

La société affirme que plus de deux douzaines de fabricants de matériel sont concernés, y compris des équipementiers haut de gamme tels qu'Intel, AMD et Lenovo.

Défauts à fort impact

UEFI signifie Unified Extensible Firmware Interface, qui est la couche fondamentale de tous les PC modernes.

Il fournit un moyen standardisé pour les appareils d'interagir les uns avec les autres, y compris la communication sur un réseau. Il permet également aux administrateurs de gérer la configuration de divers périphériques tels que les imprimantes, les webcams, etc.

Vous pouvez facilement résoudre tous les problèmes de BIOS surtout lors du démarrage avec notre excellent guide.

Le micrologiciel UEFI d'Insyde est vulnérable à 23 failles qui permettraient aux attaquants de prendre le contrôle total de l'ordinateur tout en maintenant l'accès à distance. Ces vulnérabilités sont classées en failles critiques et à fort impact.

Vingt-trois défauts graves

23 de ces vulnérabilités ont été classées comme critiques ou de gravité élevée et permettraient à des acteurs malveillants de accéder au point de terminaison de plusieurs manières, y compris les attaques par enregistrement de frappe, une fuite d'informations système ou un accès physique complet accès.

Les 23 failles sont suivies comme suit: CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE -2021-41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE-2021-43522, CVE-2021-43615, CVE-2021-45969, CVE- 2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031, CVE-2022-24069.

Ces trois ont une note de 9,8 sur 10 et sont classés comme ayant un impact élevé. CVE-2021-45969, CVE-2021-45970 et CVE-2021-45971

La cause principale du problème a été trouvée dans le code de référence associé au code d'infrastructure du micrologiciel InsydeH2O. Tous les fournisseurs susmentionnés (plus de 25) utilisaient le SDK du micrologiciel basé sur Insyde pour développer leurs éléments de micrologiciel (UEFI).

Correctifs pour résoudre le problème

Les chercheurs en sécurité d'Insyde ont découvert qu'il existe une faille de sécurité extrêmement grave dans certains micrologiciels des processeurs d'Intel.

Les correctifs de sécurité sont une bonne chose, mais ils ne sont pas toujours publiés assez rapidement. Insyde a publié des correctifs de micrologiciel pour aider à résoudre le problème, mais ceux-ci doivent maintenant être acceptés par les OEM et publiés sur les produits concernés, et cela peut prendre un certain temps.

En d'autres termes, vous pourriez obtenir un correctif pour votre PC aujourd'hui, mais il pourrait ne pas fonctionner avant demain. De plus, votre PC peut devenir inutilisable après l'avoir installé si vous n'installez pas également un correctif pour un autre logiciel que vous utilisez quotidiennement.

Certains équipementiers n'ont pas encore confirmé qu'ils ont été affectés, cela prendra donc un certain temps. Vous pouvez également mettre à jour votre BIOS facilement si vous ne l'avez pas déjà fait.

Votre PC a-t-il été affecté par les failles du BIOS? Faites-nous savoir dans la section commentaire ci-dessous.