Hackers kunnen >100 Lenovo-modellen infecteren met niet-verwijderbare malware. Ben je gecorrigeerd?

Lenovo heeft beveiligingsupdates uitgebracht voor meer dan 100 laptopmodellen om kritieke kwetsbaarheden te verhelpen die het voor geavanceerde hackers mogelijk maken om heimelijk kwaadaardige firmware te installeren die in sommige gevallen onmogelijk te verwijderen of te detecteren is.

Drie kwetsbaarheden die meer dan een miljoen laptops treffen, kunnen hackers de mogelijkheid geven om de UEFI van de computer aan te passen. kort voor Uniforme uitgebreide software-interfaceUEFI is de software die de firmware van een computer verbindt met het besturingssysteem. Als het eerste stukje software dat wordt uitgevoerd wanneer u bijna elk modern apparaat inschakelt, is het de eerste schakel in de beveiligingsketen. Omdat UEFI is ingebed in een flash-chip op het moederbord, is infectie moeilijk te detecteren en zelfs moeilijk te verwijderen.

Oh nee

Er zijn twee kwetsbaarheden – getraceerd als CVE-2021-3971 en CVE-2021-3972 – in UEFI-firmwarestuurprogramma’s die alleen bedoeld zijn voor gebruik tijdens het fabricageproces van Lenovo-laptops voor consumenten. Lenovo-technici hebben onbedoeld stuurprogramma’s in de productie-BIOS-images opgenomen zonder deze op de juiste manier te deactiveren. Hackers kunnen stuurprogramma’s met fouten misbruiken om beveiligingen uit te schakelen, waaronder UEFI Secure Boot, BIOS-controleregisterbits en het Protected Range-register, die zijn opgeslagen in seriële terminalinterface: (SPI) en ontworpen om ongeautoriseerde wijzigingen aan de firmware die wordt uitgevoerd te voorkomen.

Na het ontdekken en analyseren van de kwetsbaarheden, vonden onderzoekers van het beveiligingsbedrijf ESET een derde kwetsbaarheid, CVE-2021-3970. Hiermee kunnen hackers kwaadaardige firmware uitvoeren wanneer het apparaat in de systeembeheermodus wordt gezet, een zeer geprivilegieerde bedrijfsmodus die doorgaans door hardwarefabrikanten wordt gebruikt voor systeembeheer op laag niveau.

Trammell Hudson, een beveiligingsonderzoeker die gespecialiseerd is in het hacken van firmware, vertelde Ars: “Op basis van de beschrijving zijn dit allemaal goede soorten aanvallen” Oh nee “Voor gevorderde aanvallers genoeg. “Het omzeilen van flash SPI-machtigingen is een zeer slechte zaak.”

Hij zei dat het risico kan worden verminderd door beveiligingen zoals BootGuard, die is ontworpen om te voorkomen dat onbevoegden tijdens het opstartproces schadelijke firmware gebruiken. Aan de andere kant hebben onderzoekers in het verleden kritieke kwetsbaarheden ontdekt die BootGuard in gevaar brengen. ze bevatten drievoudige defecten Het werd in 2020 ontdekt door Hudson dat de bescherming niet werkte wanneer de computer uit de slaapstand kwam.

Kruip in de mainstream

Hoewel nog steeds zeldzaam, komen zogenaamde SPI-implantaten steeds vaker voor. Een van de grootste bedreigingen van het internet – een stukje malware dat bekend staat als Trickbot – begon in 2020 met het opnemen van een opstartprogramma in de codebasis waarmee mensen Schrijf firmware naar bijna elk apparaat. De enige andere twee gedocumenteerde gevallen van kwaadaardige UEFI-firmware die in het wild worden gebruikt, zijn: LOJAXdie is geschreven door een hackergroep van de Russische overheid die bekend staat onder verschillende namen, waaronder Sednit, Fancy Bear of APT 28. Het tweede geval was UEFI-malware die werd gebruikt door het beveiligingsbedrijf Ontdek Kaspersky op de computers van diplomatieke persoonlijkheden in Azië.

De drie Lenovo-kwetsbaarheden die door ESET zijn ontdekt, vereisen lokale toegang, wat betekent dat de aanvaller al de controle over het kwetsbare apparaat moet hebben met onbeperkte privileges. De barrière voor dit type toegang is hoog en zou waarschijnlijk vereisen dat een of meer andere kritieke kwetsbaarheden elders worden misbruikt, waardoor de gebruiker al een groot risico loopt.

De kwetsbaarheden zijn echter gevaarlijk omdat ze kwetsbare laptops kunnen infecteren met malware die veel verder gaat dan wat normaal mogelijk is met traditionele malware. Lenovo heeft een lijst hier Van meer dan 100 getroffen modellen.