Les utilisateurs de nombreux PC Lenovo doivent encore effectuer des mises à jour de leur système pour problèmes de sécurité. Après avril, ESET a encore identifié des dizaines de PC Lenovo vulnérables à des attaques. Les CVE-2022-3430, CVE-2022-3431 et CVE-2022-3432 permettent de désactiver UEFI Secure Boot ou de restaurer les bases de données Secure Boot par défaut (y compris dbx) tout simplement à partir d'un système d'exploitation, a expliqué le fournisseur de sécurité.

La première vulnérabilité, la CVE-2022-3430 dans le pilote de configuration WMI ouvre la voie à un attaquant disposant de privilèges élevés pour modifier les paramètres de démarrage sécurisé en modifiant une variable NVRAM. La deuxième se trouve dans un pilote utilisé pendant le processus de fabrication qui n'a pas été désactivé par erreur et entraîne le même risque que précédemment. Enfin la dernière réside dans un pilote utilisé pendant le processus de fabrication sur l'Ideapad Y700-14ISK qui n'a pas été désactivé par erreur. Lenovo ne patche que les CVE-2022-3430, CVE-2022-3431 et la CVE-2022-3432 ne sera pas corrigée car la société ne prend plus en charge l'Ideapad Y700-14ISK.

15 PC portables Lenovo à 2 CVE simultanément

Les vulnérabilités peuvent être exploitées en altérant les variables de la NVRAM, la RAM non volatile qui stocke diverses options de démarrage. Les failles résultent du fait que Lenovo a expédié par erreur des ordinateurs portables avec des pilotes destinés à être utilisés uniquement pendant le processus de fabrication. La désactivation du démarrage sécurisé UEFI offre aux attaquants d'exécuter des applications UEFI malveillantes, ce qui n'est normalement pas possible car le démarrage sécurisé nécessite que les applications UEFI soient signées de manière cryptographique. La restauration du DBX par défaut, quant à elle, accorde aux attaquants de charger des boot vulnérables. En août, des chercheurs de la société de sécurité Eclypsium avaient déjà identifié trois pilotes importants qui pourraient être utilisés pour contourner le démarrage sécurisé lorsqu'un attaquant dispose de privilèges élevés, c'est-à-dire administrateur sous Windows ou root sous Linux.

En tout 15 PC portables Lenovo sont vulnérables simultanément aux CVE-2022-3430 et CVE-2022-3431 : IdeaPad D330-10IGL, IdeaPad 5 Pro 16ARH7, IdeaPad Duet 3 10IGL5, Slim 7 16ARH7, ThinkBook 13x ITG, ThinkBook 14 G4+ ARA, ThinkBook 14 G4+ IAP, 16 G4+ ARA, 16 G4+ IAP, 16p NX ARH, ThinkBook Plus G2 ITG et G3 IAP, Yoga Duet 7-13IML05, 7-13ITL6 LTE ou pas ainsi que le Yoga Slim 7 Pro 16ARH7. Il convient dans tous les cas de figure d'appliquer au plus vite les correctifs de Lenovo disponibles sur son site ou celui d'IBM pour les modèles plus anciens.