Добавить в корзинуПозвонить
Найти в Дзене
Уловка-32

Ошибки драйвера прошивки Lenovo UEFI затрагивают более 100 моделей ноутбуков

Компания Lenovo опубликовала сообщение об уязвимостях, затрагивающих унифицированный расширяемый интерфейс прошивки (UEFI) по меньшей мере в 100 моделях ноутбуков. Всего было обнаружено три проблемы безопасности, две из которых позволяют злоумышленнику отключить защиту микросхемы флэш-памяти SPI, где хранится прошивка UEFI, и отключить функцию безопасной загрузки UEFI Secure Boot, которая гарантирует, что при загрузке система загружает только код, доверенный производителем оригинального оборудования (OEM). Успешная эксплуатация третьей уязвимости, идентифицированной как CVE-2021-3970, может позволить злоумышленнику выполнить произвольный код с повышенными привилегиями. Правда для этого злодей должен находиться в локальной сети. Все три уязвимости были обнаружены исследователями ESET, о чем компания сообщила производителю ноутбуков в октябре прошлого года. Они затрагивают более 100 моделей потребительских ноутбуков Lenovo, включая IdeaPad 3, Legion 5 Pro-16ACH6 H и Yoga Slim 9-14ITL05,
Оглавление
Уязвимость в UEFI позволяет злоумышленнику выполнить произвольный код с повышенными привилегиями / www.itkarakuli.ru
Уязвимость в UEFI позволяет злоумышленнику выполнить произвольный код с повышенными привилегиями / www.itkarakuli.ru

Компания Lenovo опубликовала сообщение об уязвимостях, затрагивающих унифицированный расширяемый интерфейс прошивки (UEFI) по меньшей мере в 100 моделях ноутбуков.

Всего было обнаружено три проблемы безопасности, две из которых позволяют злоумышленнику отключить защиту микросхемы флэш-памяти SPI, где хранится прошивка UEFI, и отключить функцию безопасной загрузки UEFI Secure Boot, которая гарантирует, что при загрузке система загружает только код, доверенный производителем оригинального оборудования (OEM).

Успешная эксплуатация третьей уязвимости, идентифицированной как CVE-2021-3970, может позволить злоумышленнику выполнить произвольный код с повышенными привилегиями. Правда для этого злодей должен находиться в локальной сети.

Все три уязвимости были обнаружены исследователями ESET, о чем компания сообщила производителю ноутбуков в октябре прошлого года. Они затрагивают более 100 моделей потребительских ноутбуков Lenovo, включая IdeaPad 3, Legion 5 Pro-16ACH6 H и Yoga Slim 9-14ITL05, что, вероятно, означает миллионы пользователей с уязвимыми устройствами.

Драйверы, добавленные по ошибке

Исследователи из ESET предупреждают, что две уязвимости, связанные с UEFI (CVE-2021-3971 и CVE-2021-3972), могут быть использованы злоумышленниками для "развертывания и успешного выполнения SPI-флэш или ESP-имплантатов".

Обе связанные с UEFI проблемы безопасности в продуктах Lenovo возникли в результате внедрения в производство двух драйверов прошивки UEFI - метко названных SecureBackDoor и SecureBackDoorPeim - которые используются только в процессе производства. Совет по безопасности от Lenovo описывает уязвимости следующим образом:

  • CVE-2021-3971: Потенциальная уязвимость в драйвере, используемом во время старых производственных процессов на некоторых потребительских устройствах Lenovo Notebook, который был ошибочно включен в образ BIOS, может позволить злоумышленнику с повышенными привилегиями изменить область защиты прошивки путем изменения переменной NVRAM.
  • CVE-2021-3972: Потенциальная уязвимость в драйвере, используемом в процессе производства на некоторых потребительских устройствах Lenovo Notebook, который по ошибке не был деактивирован, может позволить злоумышленнику с повышенными привилегиями изменить настройки безопасной загрузки путем изменения переменной NVRAM.

Полный список моделей ноутбуков Lenovo, затронутых каждой из трех уязвимостей, доступен здесь.

Имплантаты UEFI трудно обнаружить

Компания ESET представила подробный технический анализ трех обнаруженных уязвимостей, отметив, что "угрозы UEFI могут быть чрезвычайно скрытными и опасными", поскольку они выполняются "на ранней стадии процесса загрузки, до передачи управления операционной системе".

Это означает, что большинство средств защиты и решений безопасности, действующих на уровне ОС, бесполезны, а выполнение полезной нагрузки практически неизбежно и необнаружимо.

Вообще-то раскрыть их возможно, хотя этот процесс требует более продвинутых методов, таких как проверка целостности UEFI, анализ микропрограммы в реальном времени или мониторинг поведения микропрограммы и устройства на предмет подозрительной активности.

Компания по кибербезопасности обнаружила в прошлом два таких имплантата, оба из которых реально использовались хакерами:

  • Lojax - обнаружен в 2018 году и используется хакерскими группировками APT28, Fancy Bear, Sednit, Strontium и Sofacy
  • ESPecter - обнаружен в 2021 году и активен с 2012 года (как буткит для систем на базе BIOS) для сохранения в системном разделе EFI (ESP)

Это не единственная обнаруженная угроза UEFI. Касперский опубликовал отчеты о MosaicRegressor в 2020 году, о FinSpy в 2021 году и о MoonBounce в январе этого года.

Для защиты от атак, связанных с вышеуказанными уязвимостями, Lenovo рекомендует пользователям затронутых устройств обновить версию прошивки системы до последней доступной.

Это можно сделать, установив обновление вручную со страницы поддержки устройства или с помощью утилит для обновления системных драйверов, предоставляемых компанией.