Хакеры могут заразить более 100 моделей Lenovo неудаляемым вредоносным ПО. Вы исправились?
Lenovo выпустила обновления безопасности для более чем 100 моделей ноутбуков, чтобы исправить критические уязвимости, которые позволяют опытным хакерам тайно устанавливать вредоносное ПО, которое в некоторых случаях невозможно удалить или обнаружить.
Три уязвимости, затрагивающие более миллиона ноутбуков, могут дать хакерам возможность модифицировать UEFI компьютера. Короче для Единый расширенный программный интерфейсUEFI — это программное обеспечение, которое подключает прошивку компьютера к его операционной системе. Как первая часть программного обеспечения, которое запускается при включении практически любого современного устройства, это начальное звено в цепочке безопасности. Поскольку UEFI встроен во флэш-чип на материнской плате, заражение трудно обнаружить и даже трудно удалить.
О, нет
Две уязвимости, обозначенные как CVE-2021-3971 и CVE-2021-3972, существуют в драйверах прошивки UEFI, предназначенных для использования только в процессе производства потребительских ноутбуков Lenovo. Инженеры Lenovo непреднамеренно включили драйверы в производственные образы BIOS, не деактивировав их должным образом. Хакеры могут использовать драйверы с ошибками для отключения средств защиты, включая безопасную загрузку UEFI, биты реестра управления BIOS и реестр защищенного диапазона, которые хранятся в последовательный терминальный интерфейс (SPI) и предназначен для предотвращения несанкционированных изменений прошивки, на которой он работает.
Обнаружив и проанализировав уязвимости, исследователи из компании по обеспечению безопасности ESET обнаружили третью уязвимость, CVE-2021-3970. Это позволяет хакерам запускать вредоносную прошивку, когда устройство переведено в режим системного администрирования — высокопривилегированный режим работы, который обычно используется производителями оборудования для низкоуровневого управления системой.
Траммелл Хадсон, исследователь безопасности, специализирующийся на взломе прошивок, сказал Ars: “Судя по описанию, это все хорошие типы атак для достаточно продвинутых злоумышленников.”. “Обход разрешений Flash SPI — очень плохая вещь.”
Он сказал, что риск может быть снижен с помощью таких средств защиты, как BootGuard, которые предназначены для предотвращения запуска вредоносной прошивки неавторизованными людьми во время процесса загрузки. С другой стороны, исследователи в прошлом обнаруживали серьезные уязвимости, которые подрывают BootGuard. они включают тройные дефекты Обнаруженный Хадсоном в 2020 году, он мешал защите работать, когда компьютер выходил из спящего режима.
Ползти в мейнстрим
Хотя так называемые SPI-имплантаты все еще встречаются редко, они становятся все более распространенными. Одна из самых больших угроз в Интернете — вредоносное ПО, известное как Trickbot, — началось в 2020 году с включения в базу кода драйвера, который позволяет людям Запишите прошивку практически в любое устройство. Единственными другими двумя задокументированными случаями использования вредоносной прошивки UEFI в дикой природе являются ЛОЯКСкоторый был написан российской правительственной хакерской группой, известной под разными именами, включая Sednit, Fancy Bear или APT 28. Второй случай — вредоносное ПО UEFI, используемое охранной компанией. Откройте для себя Kaspersky на компьютерах дипломатических деятелей в Азии.
Три уязвимости Lenovo, обнаруженные ESET, требуют локального доступа, а это означает, что злоумышленник уже должен иметь контроль над уязвимым устройством с неограниченными привилегиями. Барьер для этого типа доступа высок и, вероятно, потребует использования одной или нескольких других критических уязвимостей в другом месте, что уже подвергает пользователя большому риску.
Однако уязвимости опасны, потому что они могут заразить уязвимые ноутбуки вредоносными программами, которые намного превосходят возможности традиционных вредоносных программ. У Леново есть список здесь Из более чем 100 затронутых моделей.
«Профессиональный интернет-практик. Знаток путешествий. Гордый исследователь. Главный зомби-первопроходец».