Компанія ESET — лідер у галузі інформаційної безпеки — виявила три уразливості у різних моделях ноутбуків Lenovo. Використання цих уразливостей дозволяє зловмисникам розгортати та запускати загрози,націлені на вбудоване програмне забезпечення UEFI. Зокрема шкідливі програми можуть бути реалізовані у формі флеш-модулів SPI, як у випадку LoJax, або ESP-модулів подібно до нещодавно виявленої загрози ESPecter.
У жовтні 2021 року дослідники ESET повідомили компанію Lenovo про всі виявлені уразливості у ноутбуках. Серед таких пристроїв понад сотня різних моделей ноутбуків із мільйонами користувачів у всьому світі.
«UEFI-загрози можуть бути надзвичайно небезпечними. Вони виконуються на початку процесу завантаження, перед передачею управління операційній системі. Це означає, що такі шкідливі програми можуть обійти майже всі механізми безпеки у стеку, які можуть запобігти виконанню компонентів», — розповідає Мартін Смолар, дослідник ESET. — Виявлення так званих «безпечних» бекдорів для UEFI демонструє, що в деяких випадках розгорнути та реалізувати UEFI-загрозу не так складно, як очікувалося. Тоді як поява більшої кількості таких загроз в реальному середовищі за останні роки, свідчить про те, що зловмисники знають про це».
Більш точною назвою для двох з цих уразливостей у ноутбуках (CVE-2021-3970, CVE-2021-3971) є «безпечні» бекдори. Саме так названі драйвери Lenovo UEFI, які реалізують одну з цих уразливостей (CVE-2021-3971): SecureBackDoor і SecureBackDoorPeim. Ці вбудовані бекдори можна активувати для вимкнення захисту модуля SPI або функції безпечного завантаження UEFI з процесу привілейованого режиму користувача під час роботи операційної системи.
На додаток до цього, під час дослідження бінарних файлів «безпечних» бекдорів спеціалісти ESET виявили третю уразливість у ноутбуках —пошкодження пам’яті режиму управління системою у функції обробника SW SMI (CVE-2021-3972). Ця уразливість дозволяє довільно читати та записувати з або в SMRAM, що може призвести до виконання шкідливого коду з привілеями режиму управління системою та розгортання флеш-модуля SPI.
Служби завантаження та виконання UEFI забезпечують основні функції, необхідні для роботи драйверів та програм, наприклад, встановлення протоколів, визначення місцезнаходження існуючих протоколів, виділення пам’яті, управління змінними UEFI тощо.
Тоді як режим управління системою є привілейованим режимом виконання процесорів x86. Його код написаний у контексті вбудованого програмного забезпечення системи і зазвичай використовується для різних завдань, включно з розширеним управлінням живлення, виконанням відповідного коду виробника та безпечним оновленням.
«Усі загрози для UEFI, виявлені за останні роки, зокрема LoJax, MosaicRegressor, MoonBounce, ESPecter, FinSpy, для розгортання та виконання певним чином обходили або вимикали механізми безпеки», — пояснює дослідник ESET.
Спеціалісти ESET рекомендують усім власникам пристроїв Lenovo переглянути список моделей ноутбуків з уразливістю і оновити своє вбудоване програмне забезпечення відповідно до інструкцій виробника.
Для користувачів ноутбуків з уразливістю, яким вже недоступні виправлення через завершення підтримки, одним із способів захисту від небажаної зміни стану безпечного завантаження UEFI є використання рішення для повнодискового шифрування з підтримкою TPM, здатного зробити дані диска недоступними у разі зміни конфігурації безпечного завантаження UEFI.
Повну версію дослідження можна знайти за посиланням.
Читайте також:
Система безпеки UEFI: як технологія машинного навчання допомагає виявити складні загрози