© Dell
© Dell

Des chercheurs ont trouvé des failles de sécurité dans SupportAssist, un logiciel pré-installé sur des millions de PC Dell.

Ces failles concernent la fonctionnalité BIOSConnect, qui permet d'obtenir des mises à jour du firmware et des options de récupération du système d'exploitation.

Quatre vulnérabilités présentes dans BIOSConnect

Les chercheurs d'Eclypsium ont découvert plusieurs vulnérabilités concernant BIOSConnect, présent dans SupportAssist. BIOSConnect permet de réaliser plusieurs opérations, comme des mises à jour du firmware ou une récupération du système à distance, qui nécessitent que le BIOS du système communique avec le backend de Dell par Internet pour récupérer les fichiers nécessaires.

Le problème étant que cette connexion contient une vulnérabilité, désignée sous le nom de CVE-2021-21571, qui permettrait à un attaquant de se faire passer pour Dell et de délivrer du contenu à l'appareil de la victime. Si UEFI Secure Boot est désactivé, cette vulnérabilité permet d'exécuter du code à distance dans l'environnement UEFI/pré-boot. Dans le cas où il est activé, trois autres vulnérabilités, indépendantes les unes des autres et de type overflow, permettent d'arriver au même résultat, c'est-à-dire à l'exécution de code dans le BIOS. Deux d'entre elles concernent le processus de récupération système, et la dernière, les mises à jour du firmware.

Des millions d'appareils concernés

« Une telle attaque permettrait aux adversaires de contrôler le processus de démarrage de l'appareil et de contourner le système d'exploitation et les contrôles de sécurité de niveau supérieur » a indiqué Eclypsium dans son rapport. Ces vulnérabilités sont d'autant plus critiques qu'elles concernent un logiciel pré-installé sur la plupart des PC Dell. D'après les chercheurs, 129 modèles sont concernés, ce qui représente plus de 30 millions d'appareils.

Eclypsium indique que seule une mise à jour du BIOS/UEFI permet de corriger ces failles, mais il déconseille de la réaliser à partir de BIOSConnect. Deux des failles ont déjà été corrigées par Dell côté serveur et ne nécessitent pas d'action de la part des utilisateurs. Pour les autres, Dell a fourni un document pour déterminer quelle mise à jour appliquer selon son modèle d'ordinateur.