Mis à jour le 8 avril: Razer a publié une déclaration avec une liste de modèles d’ordinateurs portables supplémentaires affectés par la vulnérabilité de sécurité. La société a également précisé que la page Web qu’elle avait précédemment publiée avec des instructions sur la façon de télécharger un correctif ne s’applique qu’aux modèles de 2016 et plus récents. Un nouvel outil pour les modèles de 2015 et antérieurs sera disponible « d’ici quelques semaines ». Voici la liste complète et mise à jour des modèles d’ordinateurs portables Razer concernés:
Lame Razer: RZ09-01021, RZ09-01161, RZ09-01301, RZ09-01652, RZ09-01952, RZ09-01953, RZ09-02385, RZ09-02386, RZ09-02886, RZ09-02705
Razer Blade Stealth: RZ09-01682, RZ09-01962, RZ09-01963, RZ09-01964, RZ09-02393, RZ09-02394, RZ09-02810, RZ09-02812
Razer Blade Pro: RZ09-0071, RZ09-0083, RZ09-0099, RZ09-01171, RZ09-01662, RZ09-01663, RZ09-02202
Mis à jour le 4 avril: Razer a confirmé à Laptop Mag que plusieurs modèles d’ordinateurs portables, dont les Blade Advanced (2018, 2019), Blade (2018) et Blade Stealth 13 (2019) sont affectés par une vulnérabilité des chipsets Intel. La société affirme que toutes les nouvelles unités seront expédiées de l’usine avec une mise à jour qui supprime les vulnérabilités.
Ceux qui possèdent actuellement un produit Razer sont fortement encouragés à télécharger un correctif logiciel depuis Razer. L’entreprise nous a envoyé ce lien avec des instructions sur la façon de protéger votre PC.
Les ordinateurs portables de jeu de Razer, y compris les Blade, Blade Pro et Blade Stealth, sont largement ouverts aux attaques en raison d’une vulnérabilité de sécurité critique.
Signalé pour la première fois par Le registre, un gourou de la sécurité nommé Bailey Fox a posté sur Twitter en mars, alléguant que les ordinateurs portables Razer étaient confrontés à un problème très similaire à CVE-2018-4251, une vulnérabilité découverte dans les ordinateurs portables Apple l’année dernière dans laquelle le géant de Cupertino n’a pas réussi à désactiver le mode de fabrication Intel sur ses cartes mères avant de les expédier aux magasins et aux clients.
Ce dérapage permet théoriquement aux pirates qui ont déjà des privilèges administratifs de modifier le micrologiciel d’un système et de l’infecter avec des logiciels malveillants, ou de restaurer le micrologiciel du système pour le rendre vulnérable à d’autres exploits dommageables. Dans un publier sur Seclist.org, Fox mentionne spécifiquement l’attaque Meltdown comme un exploit potentiel utilisé sur un PC affecté.
« Cela permet aux attaquants de protéger les rootkits avec Intel Boot Guard, de rétrograder le BIOS pour exploiter des vulnérabilités plus anciennes telles que Meltdown et bien d’autres choses », a écrit Fox. « Ils n’ont pas encore cherché à obtenir une CVE, disant que ce n’est pas nécessaire. »
Les droits administratifs permettraient déjà à des attaquants humains ou à des logiciels malveillants de prendre le contrôle de votre ordinateur, de voler vos données sensibles et même de vous espionner. Mais la possibilité de modifier le micrologiciel, dont les droits d’administrateur ne confèrent pas toujours, laisserait le code malveillant se cacher dans le micrologiciel de votre carte mère et survivre à une réinitialisation du système, ainsi que d’éviter la détection par des analyses antivirus.
La vulnérabilité CVE-2018-4251 (toutes les vulnérabilités obtiennent ces noms de code) fait spécifiquement référence à un problème découvert dans les produits Apple en juin 2018 et corrigé en octobre de l’année dernière. Apple a déclaré qu’une « application malveillante avec des privilèges root peut être en mesure de modifier la région de mémoire flash EFI » dans un poste de mise à jour de sécurité.
Fox a contacté le fabricant de matériel et a déclaré qu’il n’avait divulgué le problème de sécurité qu’après avoir essayé un mois pour résoudre ce problème via HackerOne, une société de courtage de primes de bogues qui aide les chercheurs à être payés par les entreprises pour trouver des problèmes avec leurs produits.
Razer a déclaré à Laptop Mag que certains modèles Razer et Razer Blade sont affectés par une vulnérabilité dans les chipsets d’Intel et que tous les nouveaux modèles seront expédiés de l’usine avec un correctif logiciel. Les propriétaires actuels d’ordinateurs portables Razer sont encouragés à utiliser ce lien avec des instructions sur la façon de télécharger le correctif.