Η κινεζική εταιρεία κατασκευής υπολογιστών Lenovo εξέδωσε ένα security advisory για να προειδοποιήσει για πολλές BIOS ευπάθειες υψηλής σοβαρότητας που επηρεάζουν εκατοντάδες συσκευές στα διάφορα μοντέλα (Desktop, All in One, IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation, ThinkSystem).
Δείτε επίσης: ΕΕ: Security updates για 5 χρόνια και OS updates για 3 χρόνια σε όλα τα τηλέφωνα
Η εκμετάλλευση των ελαττωμάτων μπορεί να οδηγήσει σε αποκάλυψη πληροφοριών, κλιμάκωση προνομίων, denial of service και, υπό ορισμένες συνθήκες, αυθαίρετη εκτέλεση κώδικα.
Τα τρωτά σημεία στο security advisory της Lenovo είναι τα ακόλουθα:
- CVE-2021-28216: Διορθώθηκε pointer flaw στο TianoCore EDK II BIOS (εφαρμογή αναφοράς του UEFI), που θα μπορούσε να επιτρέψει σε έναν εισβολέα να αυξήσει τα προνόμια και να εκτελέσει αυθαίρετο κώδικα.
- CVE-2022-40134: Ελάττωμα διαρροής πληροφοριών στο SMI Set Password SMI Handler, που θα μπορούσε να επιτρέψει σε έναν εισβολέα να διαβάσει τη μνήμη SMM.
- CVE-2022-40135: Ευπάθεια διαρροής πληροφοριών στο Smart USB Protection SMI Handler, που επιτρέπει σε έναν εισβολέα να διαβάσει τη μνήμη SMM.
- CVE-2022-40136: Ελάττωμα διαρροής πληροφοριών στο SMI Handler που χρησιμοποιείται για τη διαμόρφωση ρυθμίσεων πλατφόρμας μέσω WMI, επιτρέποντας σε έναν εισβολέα να διαβάζει τη μνήμη SMM.
- CVE-2022-40137: Buffer overflow στο WMI SMI Handler, επιτρέποντας σε έναν εισβολέα να εκτελέσει αυθαίρετο κώδικα.
- Βελτιώσεις ασφαλείας American Megatrends (χωρίς CVEs).
Το SMM (Ring -2) είναι μέρος του UEFI firmware που παρέχει λειτουργίες σε όλο το σύστημα, όπως έλεγχο low-level hardware και διαχείριση ενέργειας.
Η πρόσβαση στο SMM θα μπορούσε να επεκταθεί στο λειτουργικό σύστημα και στη μνήμη RAM και στους πόρους αποθήκευσης γι’ αυτό και η AMD και η Intel έχουν αναπτύξει μηχανισμούς απομόνωσης SMM για να διατηρούν τα δεδομένα των χρηστών ασφαλή από απειλές low-level.
Δείτε επίσης: Azure Striker Gunvolt 3 – Ανακοινώθηκαν 5 μήνες δωρεάν updates
Αποκατάσταση
Η Lenovo έχει διορθώσει τα ζητήματα στα τελευταία BIOS updates για προϊόντα που επηρεάζονται. Τα περισσότερα από τα patches που κυκλοφόρησαν είναι διαθέσιμα από τότε που κυκλοφόρησαν τον Ιούλιο και τον Αύγουστο του 2022.
Πρόσθετες ενημερώσεις αναμένονται μέχρι τα τέλη Σεπτεμβρίου και Οκτωβρίου, ενώ μια σύντομη λίστα μοντέλων θα λάβει τις ενημερώσεις το επόμενο έτος.
Μια πλήρης λίστα με τα επηρεαζόμενα μοντέλα υπολογιστών και την έκδοση BIOS firmware που αντιμετωπίζει κάθε ευπάθεια περιλαμβάνεται στο ενημερωτικό δελτίο ασφαλείας, με links προς το download portal για κάθε μοντέλο.
Δείτε επίσης: Τα Android updates Ιουνίου 2022 φέρνουν fix για κρίσιμη ευπάθεια RCE
Εναλλακτικά, οι κάτοχοι υπολογιστών Lenovo μπορούν να πλοηγηθούν στο portal “Drivers & Software”, να αναζητήσουν το προϊόν τους με το όνομα, να επιλέξουν “Manual Update” και να πραγματοποιήσουν λήψη του πιο πρόσφατου BIOS firmware.
Πηγή πληροφοριών: bleepingcomputer.com
