Les vulnérabilités BIOS sont parmi les pires qui soient puisqu’elles peuvent être exploitées avant le lancement du système et des protections et se corrigent par une mise à jour firmware jamais triviale. Dell en fait une nouvelle fois les frais.

Avec le temps et l’arrivée d’UEFI, les BIOS de nos PC ont gagné en convivialité, en richesse fonctionnelle mais aussi en surface d’exposition et en complexité avec un risque accru de découverte de vulnérabilités.
La découverte d’une vulnérabilité BIOS n’est jamais une bonne nouvelle pour les DSI. Ce type de faille ne se corrige généralement qu’en modifiant des paramètres BIOS ou en « reflashant » le firmware de l’ordinateur, des opérations jamais triviales et limpides quand elles doivent être effectuées sur tout un parc.

La semaine dernière, les chercheurs d’Eclypsium ont découvert une faille dans le mécanisme de mise à jour du BIOS présent sur plus de 129 modèles de PC Dell, représentant un parc de 30 millions de PC. Cette faille permet de mener une attaque « man in the middle » afin d’exécuter à distance du code malveillant. Autrement dit, la faille est critique puisqu’elle permet à un attaquant de contrôler le processus de boot et pervertir le système et toutes les couches de sécurité en aval.

Le BIOS Dell possède une fonctionnalité « BIOSConnect » qui fait partie de la suite Dell SupportAssist qui conduit le processus de Boot à se connecter à des serveurs Dell pour vérifier des mises à jour. Le problème, c’est que cette connexion n’est pas suffisamment protégée et peut être interceptée par une attaque « Man in the Middle ». Eclypsium a mis en évidence différentes façons pour un attaquant de profiter d’une telle attaque pour exploiter des failles permettant l’exécution à distance de codes malveillants au cœur du BIOS.

Dell vient de publier une mise à jour de son firmware corrigeant les différentes vulnérabilités découvertes par Eclypsium. Le fabricant explique également les paramètres à modifier dans le BIOS pour se protéger lorsque le firmware ne peut être rapidement mis à jour. Toutes les informations sont à retrouver ici : DSA-2021-106: Dell Client Platform Security Update for Multiple Vulnerabilities in the BIOSConnect and HTTPS Boot features as part of the Dell Client BIOS | Dell France

La découverte de ces vulnérabilités relance les débats autour de la protection des phases de démarrage et la technologie « Secured-Core » que Microsoft compte implémenter sur les futurs PC par l’introduction d’un processeur de sécurité que la firme a développé pour Xbox à l’origine.
The Register relate une différence de points de vue entre Eclypsium et Microsoft. Selon les chercheurs du premier, la technologie ne permet pas de prévenir une vulnérabilité dans le firmware UEFI permettant l’exécution de codes dans l’environnement pré-boot.
Pour Microsoft, la technologie « Secured-Core » permet de se protéger contre ce type d’attaque contrairement au « Secure Boot » actuellement en place sur les PC. Le modèle de menaces de secured-core suppose la possible compromission du firmware, et donc l’attaque décrite devrait être repérée par les processus de vérification de sécurité, le PC pouvant alors soit être isolé du réseau soit être bloqué au démarrage selon les politiques de sécurité.
Le débat reste ouvert alors que les spécifications minimales de Windows 11 veulent imposer un processeur TPM 2.0 et une architecture « Secured Core » à tous les PC.