Problem z laptopami Lenovo
Firma ESET odkryła i przeanalizowała trzy luki w zabezpieczeniach różnych modeli laptopów Lenovo. Mają one wpływ na sterowniki oprogramowania sprzętowego UEFI, które pierwotnie miały być używane wyłącznie podczas procesu produkcyjnego notebooków Lenovo. Niestety zostały one omyłkowo pozostawione w finalnych obrazach BIOS-u bez odpowiedniej dezaktywacji. Co to oznacza dla właścicieli notebooków marki Lenovo? Wykorzystanie tych luk pozwoliłoby potencjalnym atakującym na skuteczną instalację i wykonanie złośliwego oprogramowania UEFI w postaci implantów pamięci SPI flash, takich jak LoJax lub implantów ESP, takich jak najnowsze odkrycie badaczy ESET o nazwie ESPecter.
Wszystkie odkryte luki zostały zgłoszone producentowi w październiku 2021 roku. Łączna lista urządzeń dotkniętych lukami obejmuje ponad sto różnych modeli laptopów, z których korzystają miliony użytkowników na całym świecie. Wśród nich znajdują się zarówno niedrogie modele, takie jak Ideapad-3, jak i te bardziej zaawansowane – Legion 5 Pro-16ACH6H lub Yoga Slim 9-14ITL05.
– Na ogół użytkownicy komputerów mają do czynienia z zagrożeniami, które zagnieżdżają się na dysku twardym, w pamięci operacyjnej lub rejestrze. Jednak zagrożenia UEFI przenikają głębiej i rezydują w pamięci UEFI – interfejsie startowym urządzenia łączącym system operacyjny z oprogramowaniem sprzętowym. To sprawia, że są one trudniejsze do wykrycia i usunięcia, a przez to znacznie groźniejsze – komentuje Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa ESET.
Furtki dla hakerów w laptopach Lenovo
Pierwsze dwie z odkrytych luk CVE-2021-3970 i CVE-2021-3971 są nazywane „bezpiecznymi” backdoorami wbudowanymi w oprogramowanie układowe UEFI, ponieważ taką nazwę nadano sterownikom w laptopach Lenovo, które stanowią furtkę dla cyberprzestępców (SecureBackDoor i SecureBackDoorPeim). Te wbudowane backdoory można aktywować w celu wyłączenia zabezpieczeń pamięci SPI flash lub funkcji UEFI Secure Boot, mechanizmu, który ma za zadanie weryfikować uruchamiane pliki wykonywalne podczas początkowej fazy rozruchu komputera. Właśnie podczas badań tych dwóch backdoorów eksperci bezpieczeństwa ESET odkryli trzecią lukę (CVE-2021-3972), która pozwala na dowolny odczyt, zapis z/do pamięci SMRAM, co może zostać wykorzystane do wykonania szkodliwego kodu z uprawnieniami SMM.
ESET zdecydowanie zaleca wszystkim posiadaczom laptopów Lenovo, aby zapoznali się z listą urządzeń, których dotyczy ten problem i zaktualizowali ich oprogramowanie sprzętowe, postępując zgodnie z instrukcjami producenta. Pełną listę urządzeń można znaleźć na oficjalnej stronie internetowej Lenovo pod adresem tym.
– Dla tych, którzy korzystają z niewspieranych już przez producenta urządzeń dotkniętych luką UEFI SecureBootBackdoor (CVE-2021-3970), jednym ze sposobów ochrony przed niepożądaną modyfikacją opcji UEFI Secure Boot jest użycie rozwiązania do szyfrowania całego dysku z wykorzystaniem TPM, które uniemożliwi dostęp do danych w przypadku zmiany konfiguracji UEFI Secure Boot – radzi Kamil Sadkowski.