Изследователите предупредиха в сряда, че повече от две дузини модели лаптопи на Lenovo са уязвими към злонамерени хакове, които деактивират процеса на защитено зареждане на UEFI и след това стартират неподписани UEFI приложения или постоянно монтират буутлоудър, който компрометира устройството.
В същото време изследователи от компанията за сигурност ESET Откриване на слабостипроизводител на лаптопи Пуснете актуализации за защита 25 модела, включително ThinkPads, Yoga Slims и IdeaPads. Уязвимостите, които подкопават UEFI Secure Boot, могат да бъдат опасни, защото позволяват на атакуващите да инсталират злонамерен фърмуер, който оцелява при многократни преинсталирания на ОС.
Не често, но рядко
Съкратено от Unified Extensible Firmware Interface, UEFI е софтуерът, който свързва фърмуера на компютъра с неговата операционна система. Като първото парче код, което се изпълнява, когато включите почти всяко съвременно устройство, това е първата връзка във веригата за сигурност. Тъй като UEFI се намира във флаш чип на дънната платка, е трудно да се открие и премахне инфекцията. Типични действия като изтриване на твърдия диск и повторно инсталиране на операционната система нямат забележим ефект, тъй като инфекцията с UEFI след това ще зарази отново компютъра.
ESET каза, че уязвимостите — проследявани като CVE-2022-3430, CVE-2022-3431 и CVE-2022-3432 — „позволяват UEFI Secure Boot да бъде деактивиран или да възстанови фабричните настройки по подразбиране на Secure Boot бази данни (включително dbx): Всичко просто от операционна система.“ Secure Boot използва бази данни, за да разрешава и отказва механизми. DBX база данни, по-специално, съхранява криптографски хешове на отхвърлени ключове. Деактивирането или възстановяването на стойностите по подразбиране в базите данни позволява на атакуващия да премахне ограниченията, които обикновено са в сила.
„Промяната на неща във фърмуера от операционната система не е обичайна, а по-скоро рядка“, каза в интервю изследовател, специализиран в сигурността на фърмуера, който предпочете да не бъде назован. „Повечето хора имат предвид, че за да промените настройките във фърмуера или в BIOS, трябва да имате физически достъп, за да разбиете бутона DEL при зареждане, за да влезете в настройките и да правите неща там. Когато можете да правите няколко неща от операционната система, това е голямата работа.”
Деактивирането на UEFI Secure Boot освобождава нападателите да изпълняват злонамерени UEFI приложения, което обикновено не е възможно, тъй като Secure Boot изисква криптографско подписване на UEFI приложения. Междувременно възстановяването на фабричните настройки по подразбиране на DBX позволява на атакуващите да заредят уязвим буутлоудър. През август изследователи от охранителната компания Eclypsium Идентифицирах трима видни водачи Те могат да се използват за заобикаляне на защитеното зареждане, когато атакуващият има повишени привилегии, т.е. администратор в Windows или root в Linux.
Уязвимостите могат да бъдат използвани чрез манипулиране на променливи в NVRAM, енергонезависимата RAM, която съхранява различни опции за зареждане. Уязвимостите са причинени от това, че Lenovo случайно е изпратила лаптопи с драйвери, които са предназначени само за използване по време на производствения процес. Слабите места са:
- CVE-2022-3430: Потенциална уязвимост в драйвера за настройка на WMI на някои потребителски преносими компютри Lenovo може да позволи на хакер с повишени права да промени настройките на Secure Boot чрез промяна на променливата NVRAM.
- CVE-2022-3431: Потенциална уязвимост в драйвер, използван по време на производствения процес на някои потребителски преносими компютри Lenovo, който не е бил случайно деактивиран, може да позволи на хакер с повишени привилегии да промени настройката за защитено зареждане чрез промяна на променливата NVRAM.
- CVE-2022-3432: Потенциална уязвимост в драйвер, използван по време на производствения процес на Ideapad Y700-14ISK, който не е бил случайно деактивиран, може да позволи на хакер с повишени привилегии да промени настройката за защитено зареждане чрез задаване на променливата NVRAM.
Lenovo коригира само първите две. CVE-2022-3432 няма да бъде коригиран, тъй като компанията вече не поддържа Ideapad Y700-14ISK, моделът лаптоп в края на живота си, който беше засегнат. Хората, които използват някой от другите уязвими модели, трябва да инсталират корекциите възможно най-скоро.
More Stories
Съобщава се, че Apple работи върху 90Hz Studio Display, iMac и iPad Air
Новото музикално приложение на Nintendo е клонинг на YouTube Music
2027 Pixel Tablet ‘3’ може да има втори USB-C порт