Les postes requis pour UEFI / GPT sont-ils sécurisés?

-1

J'ai récemment configuré manuellement UEFI pour mon installation Windows. Aujourd’hui, j’ai lu un article sur les logiciels malveillants de Lenovo pour l’envoi de programmes malveillants sur les positions UEFI de certains de leurs ordinateurs portables.

Cela m'a posé la question suivante: la partition est-elle réellement sécurisée ou une application en mode utilisateur peut-elle y écrire pour obtenir une escalade des autorisations et écraser les fichiers système au démarrage?

windows uefi gpt

— Kir
source

Positions ou partitions?

— Ramhound

Je crois que vous faites référence à ce rapport. Brièvement, Lenovo utilise son firmware pour s’assurer qu’un binaire Windows ( C:\Windows\system32\autochk.exe) particulier est la version de Lenovo, et non la version de Microsoft. Si c'est la version de Microsoft, elle est remplacée par la version de Lenovo. Le fichier binaire télécharge ensuite deux autres fichiers binaires Lenovo rendant compte de votre utilisation de l'ordinateur. L'avis de sécurité de Lenovo fait référence de manière ambiguë aux "vulnérabilités" de ce système, mais je ne sais pas exactement ce que cela signifie - c'est probablement pire que de conserver certains fichiers installés par Lenovo sur votre ordinateur sans vous poser de questions à ce sujet.

Notez que ces failles n’ont pas vraiment grand chose à voir avec la "sécurité" des "partitions", sauf bien sûr dans la mesure où elles C:résident sur une partition du disque. Il s’agit bien du firmware dans lequel Lenovo a inséré son bloatware.

Si je comprends bien, il y a trois problèmes clés ici:

Lenovo a publié un programme qui désactive cette fonctionnalité bloatware et un micrologiciel mis à jour qui la supprime entièrement.
À moins que ce ne soit la proverbiale "pointe de l'iceberg", tous les produits Lenovo ne sont pas concernés.
Je doute que cela vous affecte si vous devez effacer Windows et n'utiliser qu'un autre système d'exploitation (Linux, FreeBSD, etc.).

Consultez les propres avis de service de Lenovo pour des informations plus définitives sur ce sujet, y compris une liste des modèles concernés et des liens vers l'utilitaire de désactivation et les mises à jour du microprogramme ("BIOS", bien que ce soit mal choisi).

— Rod Smith
source

Oui c'est celui-là. Cependant, je ne suis pas affecté par cette affaire de Lenovo. Je me demande simplement si un logiciel malveillant peut écrire quelque chose sur ces partitions afin d'obtenir un effet similaire. C'est un peu comme un rootkit, non?

— Kir

Il est tout à fait possible que la "vulnérabilité" évoquée par Lenovo permette justement cela: un logiciel non autorisé utilisant cette fonctionnalité se maintient lui-même installé. Je n’appellerais pas la fonctionnalité elle - même un "rootkit", mais c’est essentiellement une question de sémantique; quel que soit son nom, la fonctionnalité du firmware de Lenovo est, au mieux, mal conçue.

— Rod Smith

Droite. Vraiment, il semble que Lenovo utilise simplement les fonctionnalités fournies par les cartes mères les plus récentes aux intentions discutables. Je ne me concentre pas spécifiquement sur Lenovo, mais j'essaie de comprendre si ces partitions vous rendent vulnérable à une nouvelle classe d'attaques. Les partitions ne sont pas spécifiques à Lenovo ou à Windows, mais plutôt à des implémentations de UEFI / GPT.

— Kir

Ce ne sont pas précisément les cartes mères qui posent problème; c'est le firmware (qui est stocké sur la carte mère). Lenovo n'utilise pas les fonctionnalités du micrologiciel. il a créé la fonctionnalité, puisqu'il a créé le micrologiciel - ou, plus précisément, l'a contracté pour le créer. En outre, encore une fois, les partitions ne sont pas du tout le problème. Je ne comprends pas bien ce que vous entendez par ce commentaire, mais vous utilisez mal le terme «partition» ou vous êtes très confus quant à la nature du problème. Autant que je sache, basé sur l'information du public, ce problème est spécifique à Lenovo.

— Rod Smith