Lenovo выпустила обновление безопасности для более 100 моделей ноутбуков. Эти апдейты закрывают критические уязвимости, позволяющие злоумышленникам скрыто устанавливать вредоносное программное обеспечение, которое почти невозможно удалить и в некоторых случаях обнаружить.
Три уязвимости, влияющие на более 1 миллиона ноутбуков, могут дать хакерам возможность изменять UEFI компьютера. Unified Extensible Firmware Interface, UEFI – это программное обеспечение, соединяющее «железо» компьютера с его операционной системой. UEFI является программным модулем, запускаемым первым при старте ПК. Поскольку UEFI находится во флеш-чипе на материнской плате, записанные у него инфекции трудно обнаружить и даже труднее удалить.
Две уязвимости CVE-2021-3971 и CVE-2021-3972 содержатся в драйверах микропрограммы UEFI, предназначенных для использования только при производстве потребительских ноутбуков Lenovo. Инженеры Lenovo нечаянно оставили активными эти драйверы. Но хакеры могут использовать эти драйверы, чтобы отключить защиту, предназначенную для предотвращения несанкционированных изменений микропрограммы UEFI. Среди них – безопасная загрузка UEFI, биты управляющего регистра BIOS и регистр защищенного диапазона.
После обнаружения и анализа уязвимостей исследователи из фирмы безопасности ESET обнаружили третью уязвимость, CVE-2021-3970. Она позволяет хакерам запускать вредоносное микропрограммное обеспечение, когда компьютер переводится в режим управления системой, обычно используемый производителями оборудования для низкоуровневого управления системой.«Исходя из описания, все это достаточно «нет» типы атак для достаточно продвинутых злоумышленников, — сказал Траммел Хадсон, исследователь безопасности, специализирующийся на хакерских атаках. – Обход разрешений флэш-памяти SPI – это очень плохо».
Серьезность уязвимостей может быть уменьшена с помощью таких средств защиты как BootGuard, который предназначен для предотвращения запуска вредоносного программного обеспечения несанкционированными лицами во время процесса загрузки. Но исследователи в прошлом обнаружили критические уязвимости, которые взрывают BootGuard. Уязвимости не позволяли защите работать, когда компьютер выходил из спящего режима.
Угрозы, поражающие UEFI все еще редки, но их количество растет. Одна из наиболее известных таких угроз — злонамеренное программное обеспечение Trickbot, которое в 2020 году начало включать драйвер, позволяющий записывать микропрограмму UEFI практически на любое устройство.
Единственными двумя другими задокументированными случаями использования вредоносных микропрограмм UEFI в дикой природе является LoJax. Вторым случае было вредоносное программное обеспечение UEFI, которое фирма Касперская обнаружила на компьютерах дипломатических деятелей в Азии.
Все три уязвимости Lenovo, обнаруженные ESET, требуют локального доступа, а это значит, что злоумышленник уже должен иметь контроль над уязвимой машиной с неограниченными привилегиями. Планка такого типа доступа высока и, вероятно, потребует использования одной или нескольких критических других уязвимостей.
Однако уязвимости серьезны, поскольку их трудно удалить и даже обнаружить. Список пораженных моделей Lenovo приводит на своем сайте https://support.lenovo.com/us/en/product_security/LEN-73440#Lenovo%20Notebook