Lenovo випустила оновлення безпеки для більш ніж 100 моделей ноутбуків. Ці апдейти закривають критичні вразливості, які дозволяють зловмисникам приховано встановлювати шкідливе програмне забезпечення, що майже неможливо видалити та, в деяких випадках, виявити.
Три вразливості, що впливають на понад 1 мільйон ноутбуків, можуть дати хакерам можливість змінювати UEFI комп’ютера. Unified Extensible Firmware Interface, UEFI — це програмне забезпечення, яке з’єднує «залізо» комп’ютера з його операційною системою. UEFI є програмним модулем, що запускається першим при старті ПК. Оскільки UEFI знаходиться у флеш-чіпі на материнській платі, записані в нього інфекції важко виявити і навіть важче видалити.
Дві вразливості CVE-2021-3971 і CVE-2021-3972 містяться в драйверах мікропрограми UEFI, призначених для використання лише під час виробництва споживчих ноутбуків Lenovo. Інженери Lenovo ненавмисно залишили активними ці драйвери. Але хакери можуть використовувати ці драйвери, щоб вимкнути захист, призначений для запобігання несанкціонованим змінам мікропрограми UEFI. Серед них – безпечне завантаження UEFI, біти керуючого регістра BIOS і регістр захищеного діапазону.
Після виявлення та аналізу вразливостей дослідники з фірми безпеки ESET виявили третю вразливість, CVE-2021-3970. Вона дозволяє хакерам запускати шкідливе мікропрограмне забезпечення, коли комп’ютер переводиться в режим керування системою, який зазвичай використовується виробниками обладнання для низькорівневого керування системою.
«Виходячи з опису, все це досить «о ні» типи атак для досить просунутих зловмисників, — сказав Траммел Хадсон, дослідник безпеки, який спеціалізується на хакерських атаках. – Обхід дозволів флеш-пам’яті SPI – це дуже погано».
Серйозність вразливостей може бути зменшена за допомогою таких засобів захисту, як BootGuard, який призначений для запобігання запуску шкідливого програмного забезпечення несанкціонованими особами під час процесу завантаження. Але дослідники в минулому виявили критичні вразливості, які підривають BootGuard. Вразливості не дозволяли захисту працювати, коли комп’ютер виходив із сплячого режиму.
Загроз, що вражають UEFI все ще рідкісні, але їхня кількість зростає. Одна з найбільш відомих таких загроз — зловмисне програмне забезпечення Trickbot, яке у 2020 році почало включати драйвер, що дозволяє записувати мікропрограму UEFI практично на будь-який пристрій.
Єдиними двома іншими задокументованими випадками використання шкідливих мікропрограм UEFI в дикій природі є LoJax. Другим випадком було шкідливе програмне забезпечення UEFI, яке фірма Касперський виявила на комп’ютерах дипломатичних діячів в Азії.
Усі три уразливості Lenovo, виявлені ESET, вимагають локального доступу, а це означає, що зловмисник вже повинен мати контроль над уразливою машиною з необмеженими привілеями. Планка для такого типу доступу висока і, ймовірно, вимагатиме використання однієї або кількох критичних інших вразливостей.
Проте вразливості є серйозними, оскільки їх важко видалити та навіть виявити. Перелік уражених моделей Lenovo наводить на своєму сайті https://support.lenovo.com/us/en/product_security/LEN-73440#Lenovo%20Notebook