Η Lenovo έχει διορθώσει τρία bugs που θα μπορούσαν να χρησιμοποιηθούν για την εκτέλεση επιθέσεων UEFI.
Δείτε επίσης: Το LinkedIn έχει γίνει το πιο spoofed brand σε επιθέσεις phishing
Η Lenovo δημοσίευσε ένα security advisory σχετικά με τρωτά σημεία που επηρεάζουν το Unified Extensible Firmware Interface (UEFI) που έχει φορτωθεί σε τουλάχιστον 100 από τα μοντέλα φορητών υπολογιστών της.
Δείτε επίσης: iCloud phishing scam μπορεί να αδειάσει τα MetaMask crypto wallets των χρηστών
Ανακαλύφθηκαν από τον ερευνητή της ESET Martin Smolár, τα τρωτά σημεία, τα οποία εκχωρήθηκαν ως CVE-2021-3970, CVE-2021-3971 και CVE-2021-3972, θα μπορούσαν να χρησιμοποιηθούν για την «ανάπτυξη και επιτυχή εκτέλεση UEFI malware είτε με τη μορφή των SPI flash implants όπως LoJax ή ESP implants όπως το ESPecter» στο BIOS του Lenovo Notebook.
Στις κυβερνοεπιθέσεις UEFI, οι κακόβουλες λειτουργίες φορτώνονται σε μια παραβιασμένη συσκευή σε πρώιμο στάδιο της διαδικασίας εκκίνησης. Αυτό σημαίνει ότι το malware μπορεί να παραβιάσει τα δεδομένα configuration, να δημιουργήσει persistence και ενδέχεται να μπορεί να παρακάμψει μέτρα ασφαλείας που φορτώνονται μόνο στο στάδιο του λειτουργικού συστήματος.
Την Τρίτη, η ESET είπε ότι τα τρωτά σημεία επηρεάζουν «περισσότερα από εκατό διαφορετικά μοντέλα consumer laptop με εκατομμύρια χρήστες παγκοσμίως» και προκλήθηκαν από drivers που προορίζονταν να χρησιμοποιηθούν μόνο κατά το στάδιο ανάπτυξης προϊόντων της Lenovo.
Η λίστα προϊόντων που επηρεάζεται περιλαμβάνει IdeaPads, συσκευές παιχνιδιών Legion και φορητούς υπολογιστές Flex και Yoga.
Η πρώτη ευπάθεια, το CVE-2021-3970, επηρεάζει τη λειτουργία χειριστή SW SMI. Αυτό το ζήτημα καταστροφής της μνήμης SMM, που προκαλείται από ακατάλληλο input validation, επιτρέπει στους εισβολείς να διαβάζουν/εγγράφουν στο SMRAM, το οποίο, με τη σειρά του, θα μπορούσε να επιτρέψει την εκτέλεση κακόβουλου κώδικα με δικαιώματα SMM — και την ανάπτυξη SPI flash implants.
Οι άλλες δύο ευπάθειες, CVE-2021-3971 και CVE-2021-3972, σχετίζονται με drivers που ονομάζονται SecureBackDoor και SecureBackDoorPeim.
Η ESET ανέφερε τα τρία τρωτά σημεία στη Lenovo στις 11 Οκτωβρίου 2021. Τα ελαττώματα ασφαλείας αντιμετωπίστηκαν και επιβεβαιώθηκαν τον Νοέμβριο. Οι ενημερώσεις κώδικα έχουν πλέον κυκλοφορήσει, οδηγώντας στη δημόσια αποκάλυψη του Απριλίου.
Δείτε επίσης: ΗΠΑ: Η ομάδα Lazarus χρησιμοποιεί κακόβουλα cryptocurrency apps
Συνιστάται στους χρήστες να επιδιορθώσουν αμέσως το firmware τους. Η Lenovo δημοσίευσε ‘ενα advisory και εναλλακτικές επιλογές μετριασμού για χρήστες που αυτή τη στιγμή δεν μπορούν να δεχτούν επιδιορθώσεις.
Η ESET παρείχε μια λεπτομερή τεχνική ανάλυση των τριών τρωτών σημείων που αποκαλύφθηκαν σημειώνοντας ότι «οι απειλές UEFI μπορεί να είναι εξαιρετικά κρυφές και επικίνδυνες» επειδή εκτελούνται «νωρίς στη διαδικασία εκκίνησης, πριν μεταφέρουν τον έλεγχο στο λειτουργικό σύστημα».
Πηγή πληροφοριών: zdnet.com
