Lenovo krpa ranjivosti UEFI firmvera koje utječu na milijune korisnika

  • Oct 18, 2023

Tri ranjivosti mogu se iskoristiti za postavljanje flash implantata i zaobilaženje sigurnog pokretanja.

Lenovo je zakrpao tri greške koje bi se mogle zloupotrijebiti za izvođenje UEFI napada.

Otkrio je ESET-ov istraživač Martin Smolár, ranjivosti, dodijeljene kao CVE-2021-3970, CVE-2021-3971, i CVE-2021-3972, može se iskoristiti za "uvođenje i uspješno pokretanje zlonamjernog softvera UEFI bilo u obliku SPI flash implantata poput LoJaxa ili ESP implantata poput ESPecter" u BIOS-u prijenosnog računala Lenovo.

ZDNET preporučuje

Najbolji antivirusni softver i aplikacije

Pregled najboljeg softvera i aplikacija za Windows i Mac računala, kao i iOS i Android uređaje, kako biste se zaštitili od zlonamjernog softvera i virusa.

Čitaj SAD

U UEFI kibernetičkim napadima, zlonamjerne operacije se učitavaju na kompromitirani uređaj u ranoj fazi procesa pokretanja. To znači da zlonamjerni softver može petljati s konfiguracijskim podacima, uspostaviti postojanost i možda moći zaobići sigurnosne mjere koje se učitavaju samo u fazi OS-a.

U utorak, ESET rekao je ranjivosti utjecaj na "više od sto različitih modela potrošačkih prijenosnih računala s milijunima korisnika širom svijeta" i uzrokovani su upravljačkim programima koji su namijenjeni samo za korištenje tijekom razvojne faze Lenovo proizvoda.

Utjecali su lista proizvoda uključuje IdeaPadove, Legion igračke uređaje te prijenosna računala Flex i Yoga.

Prva ranjivost, CVE-2021-3970, utječe na funkciju SW SMI rukovatelja. Ovaj problem s oštećenjem SMM memorije, uzrokovan neispravnom provjerom valjanosti unosa, dopušta napadačima čitanje/pisanje u SMRAM, što bi zauzvrat moglo dopustiti izvršenje zlonamjernog koda sa SMM povlasticama -- i da se SPI flash implantati raspoređeni.

"SMM je visoko privilegirani način izvršavanja x86 procesora [...]", objasnili su istraživači. "SMM kod je napisan u kontekstu firmvera sustava i obično se koristi za razne zadatke, uključujući napredno upravljanje napajanjem, izvršavanje OEM vlasničkog koda i sigurni firmware nadopune. Omogućuje neovisno izvršno okruženje potpuno nevidljivo operativnom sustavu."

Druge dvije ranjivosti, CVE-2021-3971 i CVE-2021-3972, odnose se na upravljačke programe pod nazivom SecureBackDoor i SecureBackDoorPeim.

Lenovo je opisao prvu sigurnosnu grešku kao "potencijalnu ranjivost upravljačkog programa koji se koristi tijekom starijih proizvodnih procesa na nekim potrošačkim Lenovo Notebook uređajima koja je greškom uključena u sliku BIOS-a mogla bi omogućiti napadaču s povišenim privilegijama da modificira [] regiju zaštite firmvera modificiranjem NVRAM varijable." 

Drugi problem je "potencijalna ranjivost upravljačkog programa koji se koristi tijekom [] proizvodnog procesa na nekim potrošačkim Lenovo Notebook uređajima koji greškom nije deaktiviran [i] može dopustiti napadaču s povišenim ovlastima da modificira postavke sigurnog pokretanja modificiranjem NVRAM-a varijabla."

Kada ih postavlja upit softvera Lenovo, upravljački programi mogu biti ugroženi kako bi onemogućili bljeskalice i UEFI Secure Boot. Napadači s dovoljno visokom razinom privilegija mogu iskoristiti CVE-2021-3971 za promjenu postavki UEFI firmvera, a CVE-2021-3972 zahtijeva petljanje s NVRAM varijablama za implementaciju zlonamjernih implantata.

ESET je Lenovo prijavio tri ranjivosti 11. listopada 2021. Sigurnosni propusti ispitani su i potvrđeni u studenom. Zakrpe su sada objavljene, što je dovelo do javnog objavljivanja u travnju.

Preporuča se da korisnici odmah zakrpe svoj firmware. Lenovo ima objavio savjet i alternativne mogućnosti ublažavanja za korisnike koji u ovom trenutku ne mogu prihvatiti popravke.

Međutim, neće svaki uređaj na popisu biti ažuriran popravcima kao naslijeđeni proizvodi. ESET preporučuje korištenje softvera za šifriranje cijelog diska koji podržava TPM kako bi informacije bile nedostupne ako se mijenja konfiguracija UEFI Secure Boot kada se radi o uređajima koji nemaju podršku.

"Sve UEFI prijetnje iz stvarnog svijeta otkrivene posljednjih godina -- LoJax, MosaicRegressor, MoonBounce, ESPecter, FinSpy -- potrebno je zaobići ili onemogućiti sigurnosne mehanizme na neki način kako bi se rasporedilo i izvršilo," Smolár komentirao. "Naše otkriće pokazuje da u nekim slučajevima implementacija UEFI prijetnji možda neće biti tako teška kao što se očekivalo, a veća količina UEFI prijetnji iz stvarnog svijeta otkrivenih posljednjih godina sugerira da su protivnici svjesni ovaj."

Vidi također

  • Kineski APT postavlja MoonBounce implantat u UEFI firmware
  • Otkrivene ranjivosti firmvera UEFI koje utječu na Fujitsu, Intel i druge
  • Kineska hakerska skupina uočena kako koristi UEFI bootkit u divljini

Imate savjet? Stupite u kontakt sigurno putem WhatsAppa | Signal na +447713 025 499 ili na Keybase: charlie0

Sigurnost

8 navika iznimno sigurnih radnika na daljinu
Kako pronaći i ukloniti špijunski softver s telefona
Najbolje VPN usluge: Kako se uspoređuju prvih 5?
Kako saznati jeste li uključeni u povredu podataka -- i što učiniti sljedeće
  • 8 navika iznimno sigurnih radnika na daljinu
  • Kako pronaći i ukloniti špijunski softver s telefona
  • Najbolje VPN usluge: Kako se uspoređuju prvih 5?
  • Kako saznati jeste li uključeni u povredu podataka -- i što učiniti sljedeće