Lenovo выпустила обновления безопасности для более чем 100 моделей ноутбуков, чтобы исправить критические уязвимости, которые позволяют опытным хакерам тайно устанавливать вредоносное ПО, которое в некоторых случаях невозможно удалить или обнаружить.
Три уязвимости, затрагивающие более миллиона ноутбуков, могут дать хакерам возможность модифицировать UEFI компьютера. Короче для Единый расширенный программный интерфейсUEFI — это программное обеспечение, которое подключает прошивку компьютера к его операционной системе. Как первая часть программного обеспечения, которое запускается при включении практически любого современного устройства, это начальное звено в цепочке безопасности. Поскольку UEFI встроен во флэш-чип на материнской плате, заражение трудно обнаружить и даже трудно удалить.
О, нет
Две уязвимости, обозначенные как CVE-2021-3971 и CVE-2021-3972, существуют в драйверах прошивки UEFI, предназначенных для использования только в процессе производства потребительских ноутбуков Lenovo. Инженеры Lenovo непреднамеренно включили драйверы в производственные образы BIOS, не деактивировав их должным образом. Хакеры могут использовать драйверы с ошибками для отключения средств защиты, включая безопасную загрузку UEFI, биты реестра управления BIOS и реестр защищенного диапазона, которые хранятся в последовательный терминальный интерфейс (SPI) и предназначен для предотвращения несанкционированных изменений прошивки, на которой он работает.
Обнаружив и проанализировав уязвимости, исследователи из компании по обеспечению безопасности ESET обнаружили третью уязвимость, CVE-2021-3970. Это позволяет хакерам запускать вредоносную прошивку, когда устройство переведено в режим системного администрирования — высокопривилегированный режим работы, который обычно используется производителями оборудования для низкоуровневого управления системой.
Траммелл Хадсон, исследователь безопасности, специализирующийся на взломе прошивок, сказал Ars: «Судя по описанию, это все хорошие типы атак для достаточно продвинутых злоумышленников.». «Обход разрешений Flash SPI — очень плохая вещь.»
Он сказал, что риск может быть снижен с помощью таких средств защиты, как BootGuard, которые предназначены для предотвращения запуска вредоносной прошивки неавторизованными людьми во время процесса загрузки. С другой стороны, исследователи в прошлом обнаруживали серьезные уязвимости, которые подрывают BootGuard. они включают тройные дефекты Обнаруженный Хадсоном в 2020 году, он мешал защите работать, когда компьютер выходил из спящего режима.
Ползти в мейнстрим
Хотя так называемые SPI-имплантаты все еще встречаются редко, они становятся все более распространенными. Одна из самых больших угроз в Интернете — вредоносное ПО, известное как Trickbot, — началось в 2020 году с включения в базу кода драйвера, который позволяет людям Запишите прошивку практически в любое устройство. Единственными другими двумя задокументированными случаями использования вредоносной прошивки UEFI в дикой природе являются ЛОЯКСкоторый был написан российской правительственной хакерской группой, известной под разными именами, включая Sednit, Fancy Bear или APT 28. Второй случай — вредоносное ПО UEFI, используемое охранной компанией. Откройте для себя Kaspersky на компьютерах дипломатических деятелей в Азии.
Три уязвимости Lenovo, обнаруженные ESET, требуют локального доступа, а это означает, что злоумышленник уже должен иметь контроль над уязвимым устройством с неограниченными привилегиями. Барьер для этого типа доступа высок и, вероятно, потребует использования одной или нескольких других критических уязвимостей в другом месте, что уже подвергает пользователя большому риску.
Однако уязвимости опасны, потому что они могут заразить уязвимые ноутбуки вредоносными программами, которые намного превосходят возможности традиционных вредоносных программ. У Леново есть список здесь Из более чем 100 затронутых моделей.