Найти в Дзене
7 подписчиков

В ноутбуках топового мирового производителя стоят невидимые заводские «неудаляемые» трояны


ИБ-компания Eset выявила опасную уязвимость в ряде моделей ноутбуков тайваньской Acer. С ее помощью злоумышленнику ничего не стоит установить на компьютер жертвы вредоносное ПО, которое крайне сложно обнаружит и нельзя удалить за счет переустановки ОС или форматирования системного диска. Обнаружение брешей такого рода постепенно становится обыденным. С начала 2022 г. специалисты Eset не менее трех раз предупреждали о проблемах безопасности, затграгивающих прошивки UEFI популярных моделей ноутбуков, в том числе производства Lenovo.

Специалисты Eset обнаружили в ноутбуках тайваньской компании Acer уязвимости, которые позволяют злоумышленнику с доступом к устройству отключить функцию безопасной загрузки (Secure Boot) на уровне прошивки UEFI.

Функция безопасной загрузки защищает от запуска неподписанного загрузчика на компьютерах, оснащенных модулем TPM (Trusted Platform Module; модуль доверенной платформы) и UEFI (Unified Extensible Firmware Interfacee; унифицированный интерфейс расширяемой прошивки). Таким образом, использование Secure Boot обеспечивает защиту от вредоносного ПО, которое способно запускаться еще до загрузки операционной системы.

Брешь, допускающая деактивацию функции Secure Boot, обнаружена сотрудником словацкой ИБ-компании Eset Мартином Смоларом (Martin Smolar) в DXE-драйвере HQSwSmiDxe, который присутствует в некоторых моделях ноутбуков Acer потребительского класса.

Среди подверженных уязвимости портативных компьютеров Acer модели семейства Aspire: A315-22, A115-21, A315-22G; устройства линейки Extensa: EX215-21 и EX215-21G

Уязвимость отслеживается под идентификатором CVE-2022-4020. Ее опасность в Eset оценивают как «высокую» (8,1 балла из 10 возможных). Используя брешь, злоумышленник с расширенными привилегиями может изменить значение переменной BootOrderSecureBootDisable в энергонезависимой памяти (NVRAM; Non Volatile Random Access Memory) микросхемы UEFI и, тем самым, отключить функцию безопасной загрузки. Подобная атака имеет низкую сложность для исполнителя и не предполагает вовлечение пользователя ПК. Как отмечают в Acer, подверженный уязвимости драйвер на самом деле не проверяет значение BootOrderSecureBootDisable – сам факт существования переменной в NVRAM обеспечивает деактивацию безопасной загрузки.

Отключив процедуру безопасной загрузки на целевой машине, злоумышленник может установить модифицированную версию прошивки UEFI с вредоносным ПО, которое впоследствии нельзя будет обнаружить с помощью средств защиты уровня операционной системы.

Компания Acer уведомлена о проблеме и рекомендует владельцам затронутых уязвимости моделей ноутбуков обновить BIOS (UEFI) до последней версии. Сделать это можно, загрузив исправленную прошивку с официального сайта компании, либо дождаться его автоматической установки через «Центр обновления Windows» (Windows Update). В Acer отмечают, что соответствующее обновление для Windows будет иметь статус критического.

В апреле 2022 г. эксперты Eset обнаружили похожую уязвимость в отладочных драйверах, поставлявшихся вместе с ноутбуками Lenovo. Под угрозой оказалось более 100 моделей, в том числе IdeaPad 3, Legion 5 Pro-16ACH H и Yoga Slim 9-14ITL05.
В ноутбуках топового мирового производителя стоят невидимые заводские «неудаляемые» трояны ИБ-компания Eset выявила опасную уязвимость в ряде моделей ноутбуков тайваньской Acer.
2 минуты