Новые уязвимости в ноутбуках Lenovo угрожают миллионам пользователей

Следующая новость

Компания ESET — лидер в области информационной безопасности — обнаружила три уязвимости в разных моделях ноутбуков Lenovo. Использование этих уязвимостей позволяет злоумышленникам развертывать и запускать угрозы, нацеленные на встроенное программное обеспечения UEFI. В частности, вредоносные программы могут быть реализованы в форме флэш-модулей SPI, как в случае LoJax, или ESP-модулей подобно недавно обнаруженной угрозе ESPecter.

В октябре 2021 года исследователи ESET сообщили компании Lenovo обо всех обнаруженных уязвимостях в ноутбуках. Среди таких устройств более сотни разных моделей ноутбуков с миллионами пользователей во всем мире.

«UEFI-угрозы могут быть очень опасными. Они выполняются в начале процесса загрузки перед передачей управления операционной системе. Это означает, что такие вредоносные программы могут обойти почти все механизмы безопасности в стеке, которые могут предотвратить исполнение компонентов», — рассказывает Мартин Смолар, исследователь ESET. — Выявление так называемых «безопасных» бэкдоров для UEFI демонстрирует, что в некоторых случаях развернуть и реализовать UEFI-угрозу не так сложно, как ожидалось. В то время как появление большего количества таких угроз в реальной среде за последние годы свидетельствует о том, что злоумышленники знают об этом».

Более точное название для двух из этих уязвимостей в ноутбуках (CVE-2021-3970CVE-2021-3971) — «безопасные» бэкдоры. Именно так названы драйверы Lenovo UEFI, которые реализуют одну из этих уязвимостей (CVE-2021-3971): SecureBackDoor и SecureBackDoorPeim. Эти встроенные бэкдоры можно активировать для отключения защиты модуля SPI или функции безопасной загрузки UEFI из процесса привилегированного пользовательского режима во время работы операционной системы.

В дополнение к этому, в ходе исследования бинарных файлов «безопасных» бэкдоров специалисты ESET обнаружили третью уязвимость в ноутбуках — повреждение памяти режима управления системой в функции обработчика SW SMI (CVE-2021-3972). Эта уязвимость позволяет произвольно читать и записывать с или в SMRAM, что может привести к выполнению вредоносного кода с привилегиями режима управления системой и развертыванию флэш-модуля SPI.

Службы загрузки и выполнения UEFI обеспечивают основные функции, необходимые для работы драйверов и программ, например, установку протоколов, определение местоположения существующих протоколов, выделение памяти, управление переменными UEFI и другие.

В то время как режим управления системой является привилегированным режимом выполнения процессоров x86. Его код написан в контексте встроенного программного обеспечения системы и, как правило, используется для различных задач, включая расширенное управление питанием, выполнение соответствующего кода производителя и безопасное обновление.

 «Все угрозы для UEFI, обнаруженные за последние годы, в частности LoJax, MosaicRegressor, MoonBounce, ESPecter, FinSpy, для развертывания и выполнения определенным образом обходили или выключали механизмы безопасности», — объясняет исследователь ESET.

Специалисты ESET рекомендуют всем владельцам устройств Lenovo просмотреть список моделей ноутбуков с уязвимостью и обновить свое встроенное программное обеспечение в соответствии с инструкциями производителя.

Для пользователей ноутбуков с уязвимостью, которым уже недоступны исправления в связи с завершением поддержки, одним из способов защиты от нежелательного изменения состояния безопасной загрузки UEFI является использование решения для полнодискового шифрования с поддержкой TPM, которое способно сделать данные диска недоступными при изменении конфигурации безопасной загрузки UEFI.

Полную версию исследования можно найти по ссылке.

 

Читайте также:

Система безопасности UEFI: как технология машинного обучения помогает обнаружить сложные угрозы

Исследователи ESET обнаружили первый UEFI руткит

Буткит UEFI как инструмент для кибершпионажа