Sérülékeny Lenovo laptopok
Lenovo laptopokat veszélyeztető sebezhetőségeket fedeztek fel és elemeztek az ESET kutatói. Az érintett eszközök listája több, mint száz különféle laptopmodellt tartalmaz, és világszerte használók millióit érinti érzékenyen. A támadók számára lehetővé teszik ugyanis, hogy olyan UEFI-t (a BIOS utódja) támadó kódokat telepíthessenek, mint például az SPI Flash memóriát érintő LoJax, vagy a most felfedezett, UEFI bootkithez kapcsolódó ESPecter kártevő.
Az UEFI-kártevők rendkívül alattomosak és veszélyesek, más csak azért is, mert a rendszerindítási folyamat elején kezdenek működni, mielőtt átadnák a vezérlést az operációs rendszernek, ami azt jelenti, hogy ezáltal számos, operációs rendszer szinten futó biztonsági intézkedést meg tudnak kerülni.
Bizonyos esetekben az UEFI-kártevők észrevétlen telepítése, sajnos, nem is olyan nehéz, mint egykor vélték. A múlt években felfedezett új UEFI-fenyegetések növekvő száma arra utal, hogy a támadók ki is használják ezt a lehetőséget. A múlt években felfedezett valamennyi UEFI-fenyegetésnek (LoJax, MosaicRegressor, MoonBounce, ESPecter, FinSpy) meg kellett kerülnie vagy ki kellett kapcsolnia a biztonsági mechanizmusokat ahhoz, hogy működhessen.
Az UEFI rendszerindítási és működtetési szolgáltatásai képesek azoknak az alapvető funkcióknak és adatstruktúráknak a bneindítására, amelyek az illesztőprogramok (driverek) és alkalmazások működéséhez (például a különféle protokollok telepítéséhez, a már meglévő protokollok kereséséhez, vagy a memóriafelosztáshoz) kellenek.
A biztonsági rések közül az első kettő – CVE-2021-3971, CVE-2021-3972 – az UEFI firmware meghajtókat érinti; őket eredetileg csak a Lenovo noteszgépek gyártása közben használták volna. Sajnos, tévedésből a gyártási BIOS-ban is jelen vannak, anélkül, hogy megakadályozták volna a működésüket.
Az ESET felfedezett egy harmadik sebezhetőséget is: az SMM- (System Management Mode) memória sérülését. Ez a biztonsági rés illetéktelen olvasást/írást tesz lehetővé az SMRAM-ban, ami rosszindulatú kód futtatásához vezethet SMM-jogosultságok birtokában, illetve lehetővé teszi kártékony modulok SPI flash-re telepítését.
Az ESET kutatói azt tanácsolják a Lenovo laptopok tulajdonosainak, hogy mindenképpen nézzék át az érintett eszközök listáját, és a gyártó utasításait követve, haladéktalanul frissítsék firmware-üket.