A Lenovo goof driver biztonsági kockázatot jelent 25 laptopmodell felhasználói számára

A kutatók szerdán arra figyelmeztettek, hogy több mint kéttucat Lenovo laptopmodell sebezhető olyan rosszindulatú feltörésekkel szemben, amelyek letiltják az UEFI biztonságos rendszerindítási folyamatát, majd aláíratlan UEFI-alkalmazásokat futtatnak, vagy véglegesen felcsatolnak egy rendszerbetöltőt, amely veszélyezteti az eszközt.

Ugyanakkor az ESET biztonsági cég kutatói elmondták A gyengeségek felismeréselaptop készítő Biztonsági frissítések kiadása 25 modell, köztük ThinkPads, Yoga Slims és IdeaPads. Az UEFI Secure Boot funkciót aláásó sebezhetőségek veszélyesek lehetnek, mert lehetővé teszik a támadók számára, hogy olyan rosszindulatú firmware-t telepítsenek, amely több operációs rendszer újratelepítést is túlél.

Nem gyakori, de ritka

Az Unified Extensible Firmware Interface (Unified Extensible Firmware Interface) rövidítése, az UEFI olyan szoftver, amely összekapcsolja a számítógép firmware-jét az operációs rendszerével. Mint az első kódrészlet, amely szinte minden modern eszköz bekapcsolásakor lefut, ez az első láncszem a biztonsági láncban. Mivel az UEFI egy flash chipben található az alaplapon, nehéz észlelni és eltávolítani a fertőzést. Az olyan tipikus műveleteknek, mint a merevlemez törlése és az operációs rendszer újratelepítése, nincs észrevehető hatása, mivel az UEFI fertőzés újra megfertőzi a számítógépet.

Az ESET azt mondta, hogy a CVE-2022-3430, CVE-2022-3431 és CVE-2022-3432 néven nyomon követett sebezhetőségek „lehetővé teszik az UEFI Secure Boot letiltását vagy a gyárilag alapértelmezett Secure Boot adatbázisok (beleértve a dbx-et) visszaállítását is: operációs rendszer.” A Secure Boot adatbázisokat használ a mechanizmusok engedélyezésére és letiltására. Egy DBX adatbázis különösen az elutasított kulcsok kriptográfiai kivonatait tárolja. Az adatbázisok alapértelmezett értékeinek letiltása vagy visszaállítása lehetővé teszi a támadó számára, hogy eltávolítsa a normál esetben érvényben lévő korlátozásokat.

„A firmware megváltoztatása az operációs rendszerben nem gyakori, de meglehetősen ritka” – mondta egy interjúban egy firmware-biztonságra szakosodott kutató, aki inkább elhallgatta a nevét. „A legtöbb ember azt gondolja, hogy a firmware vagy a BIOS beállításainak módosításához fizikai hozzáféréssel kell rendelkeznie a DEL gomb lenyomásához a rendszerindításkor, hogy belépjen a telepítésbe, és ott elvégezhesse a dolgokat. Ha néhány dolgot megtehet az operációs rendszerből, ez amolyan nagy dolog.”

Az UEFI Secure Boot letiltása felszabadítja a támadókat, hogy rosszindulatú UEFI-alkalmazásokat hajtsanak végre, ami általában nem lehetséges, mivel a biztonságos rendszerindításhoz kriptográfiailag aláírt UEFI-alkalmazások szükségesek. Eközben a gyári alapértelmezett DBX visszaállítása lehetővé teszi a támadók számára, hogy betöltsenek egy sebezhető rendszerbetöltőt. Augusztusban az Eclypsium biztonsági cég kutatói Három kiemelkedő sofőrt azonosítottam Használhatók a biztonságos rendszerindítás megkerülésére, ha a támadó magasabb szintű jogosultságokkal rendelkezik, például rendszergazdai jogosultsággal Windows rendszeren vagy root Linuxon.

A biztonsági rések kihasználhatók az NVRAM változóinak manipulálásával, a nem felejtő RAM-ban, amely különféle rendszerindítási beállításokat tárol. A sérülékenységet az okozza, hogy a Lenovo véletlenül szállított laptopokat olyan illesztőprogramokkal, amelyeket csak a gyártási folyamat során való használatra terveztek. A gyenge pontok a következők:

• CVE-2022-3430: Egyes Lenovo Notebook fogyasztói WMI Setup illesztőprogramjának lehetséges biztonsági rése lehetővé teheti a magasabb szintű támadók számára, hogy az NVRAM változó módosításával módosítsák a biztonságos rendszerindítás beállításait.
• CVE-2022-3431: Egyes fogyasztói Lenovo Notebookokon a gyártási folyamat során használt illesztőprogramban található potenciális biztonsági rés, amelyet nem véletlenül deaktiváltak, lehetővé teheti a magasabb jogosultságokkal rendelkező támadók számára, hogy az NVRAM változó módosításával módosítsák a biztonságos rendszerindítás beállítását.
• CVE-2022-3432: Az Ideapad Y700-14ISK gyártási folyamata során használt illesztőprogramban található potenciális sérülékenység, amelyet nem véletlenül deaktiváltak, lehetővé teheti a magasabb jogosultságokkal rendelkező támadók számára, hogy az NVRAM változó beállításával módosítsák a biztonságos rendszerindítás beállítását.

A Lenovo csak az első kettőt javítja. A CVE-2022-3432 nem lesz javítva, mert a vállalat már nem támogatja az Ideapad Y700-14ISK-t, az élettartam végére elhasznált laptopmodellt, amely érintett. Azok, akik más sebezhető modelleket használnak, a lehető leghamarabb telepítsék a javításokat.

Menj a vitába…