A kutatók szerdán arra figyelmeztettek, hogy több mint kéttucat Lenovo laptopmodell sebezhető olyan rosszindulatú feltörésekkel szemben, amelyek letiltják az UEFI biztonságos rendszerindítási folyamatát, majd aláíratlan UEFI-alkalmazásokat futtatnak, vagy véglegesen felcsatolnak egy rendszerbetöltőt, amely veszélyezteti az eszközt.
Ugyanakkor az ESET biztonsági cég kutatói elmondták A gyengeségek felismeréselaptop készítő Biztonsági frissítések kiadása 25 modell, köztük ThinkPads, Yoga Slims és IdeaPads. Az UEFI Secure Boot funkciót aláásó sebezhetőségek veszélyesek lehetnek, mert lehetővé teszik a támadók számára, hogy olyan rosszindulatú firmware-t telepítsenek, amely több operációs rendszer újratelepítést is túlél.
Nem gyakori, de ritka
Az Unified Extensible Firmware Interface (Unified Extensible Firmware Interface) rövidítése, az UEFI olyan szoftver, amely összekapcsolja a számítógép firmware-jét az operációs rendszerével. Mint az első kódrészlet, amely szinte minden modern eszköz bekapcsolásakor lefut, ez az első láncszem a biztonsági láncban. Mivel az UEFI egy flash chipben található az alaplapon, nehéz észlelni és eltávolítani a fertőzést. Az olyan tipikus műveleteknek, mint a merevlemez törlése és az operációs rendszer újratelepítése, nincs észrevehető hatása, mivel az UEFI fertőzés újra megfertőzi a számítógépet.
Az ESET azt mondta, hogy a CVE-2022-3430, CVE-2022-3431 és CVE-2022-3432 néven nyomon követett sebezhetőségek „lehetővé teszik az UEFI Secure Boot letiltását vagy a gyárilag alapértelmezett Secure Boot adatbázisok (beleértve a dbx-et) visszaállítását is: operációs rendszer.” A Secure Boot adatbázisokat használ a mechanizmusok engedélyezésére és letiltására. Egy DBX adatbázis különösen az elutasított kulcsok kriptográfiai kivonatait tárolja. Az adatbázisok alapértelmezett értékeinek letiltása vagy visszaállítása lehetővé teszi a támadó számára, hogy eltávolítsa a normál esetben érvényben lévő korlátozásokat.
„A firmware megváltoztatása az operációs rendszerben nem gyakori, de meglehetősen ritka” – mondta egy interjúban egy firmware-biztonságra szakosodott kutató, aki inkább elhallgatta a nevét. „A legtöbb ember azt gondolja, hogy a firmware vagy a BIOS beállításainak módosításához fizikai hozzáféréssel kell rendelkeznie a DEL gomb lenyomásához a rendszerindításkor, hogy belépjen a telepítésbe, és ott elvégezhesse a dolgokat. Ha néhány dolgot megtehet az operációs rendszerből, ez amolyan nagy dolog.”
Az UEFI Secure Boot letiltása felszabadítja a támadókat, hogy rosszindulatú UEFI-alkalmazásokat hajtsanak végre, ami általában nem lehetséges, mivel a biztonságos rendszerindításhoz kriptográfiailag aláírt UEFI-alkalmazások szükségesek. Eközben a gyári alapértelmezett DBX visszaállítása lehetővé teszi a támadók számára, hogy betöltsenek egy sebezhető rendszerbetöltőt. Augusztusban az Eclypsium biztonsági cég kutatói Három kiemelkedő sofőrt azonosítottam Használhatók a biztonságos rendszerindítás megkerülésére, ha a támadó magasabb szintű jogosultságokkal rendelkezik, például rendszergazdai jogosultsággal Windows rendszeren vagy root Linuxon.
A biztonsági rések kihasználhatók az NVRAM változóinak manipulálásával, a nem felejtő RAM-ban, amely különféle rendszerindítási beállításokat tárol. A sérülékenységet az okozza, hogy a Lenovo véletlenül szállított laptopokat olyan illesztőprogramokkal, amelyeket csak a gyártási folyamat során való használatra terveztek. A gyenge pontok a következők:
- CVE-2022-3430: Egyes Lenovo Notebook fogyasztói WMI Setup illesztőprogramjának lehetséges biztonsági rése lehetővé teheti a magasabb szintű támadók számára, hogy az NVRAM változó módosításával módosítsák a biztonságos rendszerindítás beállításait.
- CVE-2022-3431: Egyes fogyasztói Lenovo Notebookokon a gyártási folyamat során használt illesztőprogramban található potenciális biztonsági rés, amelyet nem véletlenül deaktiváltak, lehetővé teheti a magasabb jogosultságokkal rendelkező támadók számára, hogy az NVRAM változó módosításával módosítsák a biztonságos rendszerindítás beállítását.
- CVE-2022-3432: Az Ideapad Y700-14ISK gyártási folyamata során használt illesztőprogramban található potenciális sérülékenység, amelyet nem véletlenül deaktiváltak, lehetővé teheti a magasabb jogosultságokkal rendelkező támadók számára, hogy az NVRAM változó beállításával módosítsák a biztonságos rendszerindítás beállítását.
A Lenovo csak az első kettőt javítja. A CVE-2022-3432 nem lesz javítva, mert a vállalat már nem támogatja az Ideapad Y700-14ISK-t, az élettartam végére elhasznált laptopmodellt, amely érintett. Azok, akik más sebezhető modelleket használnak, a lehető leghamarabb telepítsék a javításokat.
More Stories
Fekete mítosz: A Wukong 1.0.8.14860 frissítés néhány fontos javítást tartalmaz, és különösen egy főnököt gyengít
A Castlevania Dominus Collection fizikai megjelenése megerősítve, az előrendelések a következő hónapban indulnak
Az iPhone 16 még nem jelent meg, és valójában van miért várni az iPhone 17 megjelenéséig