Sterownik Lenovo goof stanowi zagrożenie dla użytkowników 25 modeli laptopów

Naukowcy ostrzegli w środę, że ponad dwa tuziny modeli laptopów Lenovo są podatne na złośliwe ataki hakerskie, które wyłączają proces bezpiecznego rozruchu UEFI, a następnie uruchamiają niepodpisane aplikacje UEFI lub na stałe montują bootloader, który naraża urządzenie.

Jednocześnie naukowcy z firmy zajmującej się bezpieczeństwem ESET Wykrywanie słabościproducent laptopów Wydaj aktualizacje zabezpieczeń 25 modeli, w tym ThinkPads, Yoga Slims i IdeaPads. Luki w zabezpieczeniach UEFI Secure Boot mogą być niebezpieczne, ponieważ umożliwiają atakującym instalację złośliwego oprogramowania układowego, które przetrwa wielokrotne ponowne instalacje systemu operacyjnego.

Nieczęste, ale rzadkie

Skrót od Unified Extensible Firmware Interface, UEFI to oprogramowanie, które łączy oprogramowanie układowe komputera z jego systemem operacyjnym. Jako pierwszy fragment kodu, który uruchamia się po włączeniu prawie każdego nowoczesnego urządzenia, jest to pierwsze ogniwo w łańcuchu zabezpieczeń. Ponieważ UEFI znajduje się w układzie flash na płycie głównej, trudno jest wykryć i usunąć infekcję. Typowe czynności, takie jak wyczyszczenie dysku twardego i ponowna instalacja systemu operacyjnego, nie przynoszą znaczącego efektu, ponieważ infekcja UEFI ponownie zainfekuje komputer.

Firma ESET powiedziała, że ​​luki — śledzone jako CVE-2022-3430, CVE-2022-3431 i CVE-2022-3432 — „pozwalają na wyłączenie bezpiecznego rozruchu UEFI lub przywrócenie domyślnych fabrycznych baz danych bezpiecznego rozruchu (w tym dbx): wszystko jest proste z systemu operacyjnego”. Bezpieczny rozruch wykorzystuje bazy danych do dopuszczania i blokowania mechanizmów. W szczególności baza danych DBX przechowuje skróty kryptograficzne odrzuconych kluczy. Wyłączenie lub przywrócenie wartości domyślnych w bazach danych umożliwia atakującemu usunięcie ograniczeń, które normalnie obowiązywałyby.

„Zmiana rzeczy w oprogramowaniu układowym z systemu operacyjnego nie jest powszechna, ale raczej rzadka”, powiedział w wywiadzie badacz specjalizujący się w bezpieczeństwie oprogramowania układowego, który wolał nie być wymieniany. „Większość ludzi ma na myśli, że aby zmienić ustawienia w oprogramowaniu układowym lub w BIOS-ie, musisz mieć fizyczny dostęp, aby nacisnąć przycisk DEL podczas rozruchu, aby przejść do konfiguracji i robić rzeczy tam. Kiedy możesz zrobić kilka rzeczy z systemu operacyjnego, to jest wielka sprawa”.

Wyłączenie bezpiecznego rozruchu UEFI umożliwia atakującym uruchamianie złośliwych aplikacji UEFI, co zwykle nie jest możliwe, ponieważ funkcja bezpiecznego rozruchu wymaga kryptograficznie podpisywania aplikacji UEFI. Tymczasem przywrócenie domyślnych ustawień fabrycznych DBX umożliwia atakującym załadowanie podatnego programu ładującego. W sierpniu naukowcy z firmy ochroniarskiej Eclypsium Zidentyfikowałem trzech wybitnych kierowców Można ich użyć do ominięcia bezpiecznego rozruchu, gdy atakujący ma podwyższone uprawnienia, np. admin w systemie Windows lub root w systemie Linux.

Luki można wykorzystać, manipulując zmiennymi w NVRAM, nieulotnej pamięci RAM, która przechowuje różne opcje rozruchu. Luki w zabezpieczeniach są spowodowane tym, że Lenovo przypadkowo wysyła laptopy ze sterownikami, które zostały zaprojektowane wyłącznie do użytku podczas procesu produkcyjnego. Słabe punkty to:

• CVE-2022-3430: Potencjalna luka w sterowniku konfiguracji WMI w niektórych notebookach Lenovo dla konsumentów może umożliwić osobie atakującej z podwyższonym poziomem uprawnień zmodyfikowanie ustawień bezpiecznego rozruchu poprzez zmianę zmiennej NVRAM.
• CVE-2022-3431: Potencjalna luka w sterowniku używanym podczas procesu produkcyjnego w niektórych konsumenckich notebookach Lenovo, która nie została przypadkowo dezaktywowana, może umożliwić osobie atakującej o podwyższonych uprawnieniach zmodyfikowanie ustawienia bezpiecznego rozruchu poprzez zmianę zmiennej NVRAM.
• CVE-2022-3432: Potencjalna luka w sterowniku używanym podczas procesu produkcyjnego na IdeaPadzie Y700-14ISK, który nie został przypadkowo dezaktywowany, może umożliwić osobie atakującej o podwyższonych uprawnieniach zmodyfikowanie ustawienia bezpiecznego rozruchu poprzez ustawienie zmiennej NVRAM.

Lenovo koryguje tylko dwa pierwsze. CVE-2022-3432 nie zostanie załatany, ponieważ firma nie obsługuje już Ideapad Y700-14ISK, wycofanego z eksploatacji modelu laptopa, którego dotyczy problem. Osoby korzystające z innych podatnych na ataki modeli powinny jak najszybciej zainstalować poprawki.

Przejdź do dyskusji…