Ошибки драйвера прошивки Lenovo UEFI затрагивают более 100 моделей ноутбуков
Lenovo опубликовала бюллетень по безопасности об уязвимостях, которые влияют на ее унифицированный расширяемый интерфейс прошивки (UEFI), загруженный как минимум на 100 моделей ее ноутбуков.
Всего было обнаружено три проблемы безопасности, две из которых позволяют злоумышленнику отключить защиту микросхемы флэш-памяти SPI, в которой хранится прошивка UEFI, и отключить функцию безопасной загрузки UEFI, обеспечивающую загрузку системы только во время загрузки кода, которому доверяет производитель оригинального оборудования (OEM).
Успешная эксплуатация третьей, обозначенной как CVE-2021-3970, может позволить локальному злоумышленнику выполнить произвольный код с повышенными привилегиями.
Все три уязвимости были обнаружены исследователями ESET и ответственно доведены до сведения Lenovo в октябре прошлого года. Они затрагивают более 100 потребительских моделей ноутбуков, включая IdeaPad 3, Legion 5 Pro-16ACH6 H и Yoga Slim 9-14ITL05, что, вероятно, означает миллионы пользователей с уязвимыми устройствами.
Драйверы добавлены по ошибке
Исследователи ESET предупреждают, что две уязвимости, связанные с UEFI (CVE-2021-3971 и CVE-2021-3972), могут быть использованы злоумышленниками для «развертывания и успешного запуска SPI flash или ESP-имплантатов».
Обе проблемы безопасности, связанные с UEFI в продуктах Lenovo, возникают из-за введения в производство двух драйверов встроенного ПО UEFI — SecureBackDoor и SecureBackDoorPeim — которые используются только в процессе производства. Совет по безопасности от Lenovo описывает уязвимости следующим образом:
Полный список моделей ноутбуков Lenovo, подверженных каждой из трех уязвимостей, доступен здесь.
Имплантаты UEFI трудно обнаружить
ESET предоставила подробный технический анализ трех обнаруженных уязвимостей, отметив, что «угрозы UEFI могут быть чрезвычайно скрытными и опасными», поскольку они выполняются «в начале процесса загрузки, до передачи управления операционной системе».
Это означает, что большинство решений по смягчению последствий и безопасности, действующих на уровне ОС, бесполезны, а выполнение полезной нагрузки почти неизбежно и невозможно обнаружить.
Их обнаружение возможно, хотя для этого процесса требуются более продвинутые методы, такие как проверка целостности UEFI, анализ прошивки в режиме реального времени или мониторинг поведения прошивки и устройства на наличие подозрительной активности.
В прошлом компания по кибербезопасности обнаружила два таких имплантата, оба из которых использовались злоумышленниками в дикой природе:
Lojax — обнаружен в 2018 году и используется российскими государственными деятелями, отслеживаемыми как APT28, Fancy Bear, Sednit, Strontium и Sofacy.
ESPecter - выявлен в 2021 г. и активен с 2012 г. (как буткит для систем на основе BIOS) для сохранения в системном разделе EFI (ESP)
Однако это не единственная обнаруженная угроза UEFI. «Лаборатория Касперского» опубликовала отчеты о MosaicRegressor в 2020 году, о FinSpy в 2021 году и о MoonBounce в январе этого года.
Для защиты от атак, связанных с указанными выше уязвимостями, Lenovo рекомендует пользователям уязвимых устройств обновить прошивку системы до последней доступной версии.
Это можно сделать, установив обновление вручную со страницы поддержки устройства или с помощью утилит для обновления системных драйверов, предоставленных компанией.
https://www.bleepingcomputer.com/news/security/lenovo-uefi-firmware-driver-bugs-affect-over-100-laptop-models/
Всего было обнаружено три проблемы безопасности, две из которых позволяют злоумышленнику отключить защиту микросхемы флэш-памяти SPI, в которой хранится прошивка UEFI, и отключить функцию безопасной загрузки UEFI, обеспечивающую загрузку системы только во время загрузки кода, которому доверяет производитель оригинального оборудования (OEM).
Успешная эксплуатация третьей, обозначенной как CVE-2021-3970, может позволить локальному злоумышленнику выполнить произвольный код с повышенными привилегиями.
Все три уязвимости были обнаружены исследователями ESET и ответственно доведены до сведения Lenovo в октябре прошлого года. Они затрагивают более 100 потребительских моделей ноутбуков, включая IdeaPad 3, Legion 5 Pro-16ACH6 H и Yoga Slim 9-14ITL05, что, вероятно, означает миллионы пользователей с уязвимыми устройствами.
Драйверы добавлены по ошибке
Исследователи ESET предупреждают, что две уязвимости, связанные с UEFI (CVE-2021-3971 и CVE-2021-3972), могут быть использованы злоумышленниками для «развертывания и успешного запуска SPI flash или ESP-имплантатов».
Обе проблемы безопасности, связанные с UEFI в продуктах Lenovo, возникают из-за введения в производство двух драйверов встроенного ПО UEFI — SecureBackDoor и SecureBackDoorPeim — которые используются только в процессе производства. Совет по безопасности от Lenovo описывает уязвимости следующим образом:
CVE-2021-3971: Потенциальная уязвимость драйвера, использовавшегося в более старых производственных процессах на некоторых потребительских ноутбуках Lenovo, который был ошибочно включен в образ BIOS, может позволить злоумышленнику с повышенными привилегиями изменить область защиты микропрограммы, изменив переменную NVRAM.
CVE-2021-3972: Потенциальная уязвимость драйвера, используемого в процессе производства на некоторых потребительских ноутбуках Lenovo, который по ошибке не был деактивирован, может позволить злоумышленнику с повышенными привилегиями изменить параметр безопасной загрузки, изменив переменную NVRAM.
Полный список моделей ноутбуков Lenovo, подверженных каждой из трех уязвимостей, доступен здесь.
Имплантаты UEFI трудно обнаружить
ESET предоставила подробный технический анализ трех обнаруженных уязвимостей, отметив, что «угрозы UEFI могут быть чрезвычайно скрытными и опасными», поскольку они выполняются «в начале процесса загрузки, до передачи управления операционной системе».
Это означает, что большинство решений по смягчению последствий и безопасности, действующих на уровне ОС, бесполезны, а выполнение полезной нагрузки почти неизбежно и невозможно обнаружить.
Их обнаружение возможно, хотя для этого процесса требуются более продвинутые методы, такие как проверка целостности UEFI, анализ прошивки в режиме реального времени или мониторинг поведения прошивки и устройства на наличие подозрительной активности.
В прошлом компания по кибербезопасности обнаружила два таких имплантата, оба из которых использовались злоумышленниками в дикой природе:
Lojax — обнаружен в 2018 году и используется российскими государственными деятелями, отслеживаемыми как APT28, Fancy Bear, Sednit, Strontium и Sofacy.
ESPecter - выявлен в 2021 г. и активен с 2012 г. (как буткит для систем на основе BIOS) для сохранения в системном разделе EFI (ESP)
Однако это не единственная обнаруженная угроза UEFI. «Лаборатория Касперского» опубликовала отчеты о MosaicRegressor в 2020 году, о FinSpy в 2021 году и о MoonBounce в январе этого года.
Для защиты от атак, связанных с указанными выше уязвимостями, Lenovo рекомендует пользователям уязвимых устройств обновить прошивку системы до последней доступной версии.
Это можно сделать, установив обновление вручную со страницы поддержки устройства или с помощью утилит для обновления системных драйверов, предоставленных компанией.
https://www.bleepingcomputer.com/news/security/lenovo-uefi-firmware-driver-bugs-affect-over-100-laptop-models/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.