„Lenovo goof driver“ kelia pavojų saugumui 25 nešiojamųjų kompiuterių modelių naudotojams

Getty Images

Tyrėjai trečiadienį perspėjo, kad daugiau nei dvi dešimtys „Lenovo“ nešiojamųjų kompiuterių modelių yra pažeidžiami kenkėjiškų įsilaužimų, kurie išjungia UEFI saugaus įkrovos procesą ir paleidžia nepasirašytas UEFI programas arba visam laikui prijungia įkrovos įkroviklį, kuris pažeidžia įrenginį.

Tuo pačiu metu saugos bendrovės ESET tyrėjai sakė Silpnybių aptikimasnešiojamųjų kompiuterių gamintojas Išleiskite saugos naujinimus 25 modeliai, įskaitant ThinkPads, Yoga Slims ir IdeaPads. Pažeidžiamumas, kenkiantis UEFI saugiam įkrovimui, gali būti pavojingas, nes leidžia užpuolikams įdiegti kenkėjišką programinę-aparatinę įrangą, kuri išgyvena kelis OS iš naujo įdiegimus.

Nedažnas, bet retas

UEFI yra programinė įranga, jungianti kompiuterio programinę-aparatinę įrangą prie operacinės sistemos. Kaip pirmoji kodo dalis, kuri paleidžiama įjungus beveik bet kurį šiuolaikinį įrenginį, tai yra pirmoji saugos grandinės grandis. Kadangi UEFI yra pagrindinės plokštės „flash“ mikroschemoje, sunku aptikti ir pašalinti infekciją. Įprasti veiksmai, tokie kaip standžiojo disko valymas ir operacinės sistemos įdiegimas iš naujo, neturi pastebimo poveikio, nes UEFI infekcija vėl užkrės kompiuterį.

ESET teigė, kad pažeidžiamumas, stebimas kaip CVE-2022-3430, CVE-2022-3431 ir CVE-2022-3432, „leidžia išjungti UEFI Secure Boot arba atkurti gamyklines numatytąsias saugaus įkrovos duomenų bazes (įskaitant dbx): viskas tiesiog iš operacinė sistema. Visų pirma DBX duomenų bazėje saugomos atmestų raktų kriptografinės maišos. Išjungus arba atkūrus numatytąsias duomenų bazių vertes, užpuolikas gali pašalinti apribojimus, kurie paprastai galiotų.

„Operacinės sistemos programinės aparatinės įrangos keitimas nėra įprastas, bet gana retas“, – interviu sakė programinės aparatinės įrangos saugumo srityje besispecializuojantis tyrėjas, kuris norėjo būti neįvardytas. „Dauguma žmonių nori pasakyti, kad norėdami pakeisti programinės aparatinės įrangos arba BIOS nustatymus, turite turėti fizinę prieigą, kad įkrovimo metu būtų galima paspausti mygtuką DEL, kad galėtumėte atlikti sąranką ir ten atlikti veiksmus. Kai galite atlikti kelis veiksmus iš operacinės sistemos, tai savotiškas didelis dalykas“.

READ  Žmonės traukia „Apple“ „FineWoven“ iPhone dėklus

Išjungus UEFI saugų įkėlimą, užpuolikai gali vykdyti kenkėjiškas UEFI programas, o tai paprastai neįmanoma, nes saugiam įkrovimui reikia kriptografiškai pasirašyti UEFI programas. Tuo tarpu gamyklos numatytąjį DBX atkūrimas leidžia užpuolikams įkelti pažeidžiamą įkrovos tvarkyklę. Rugpjūčio mėnesį saugos bendrovės „Eclypsium“ tyrėjai Nustačiau tris žinomus vairuotojus Jie gali būti naudojami norint apeiti saugią įkrovą, kai užpuolikas turi padidintas teises, t. y. administratorių sistemoje Windows arba root sistemoje Linux.

Pažeidžiamumas gali būti išnaudotas pažeidžiant kintamuosius NVRAM, nepastovioje RAM, kurioje saugomos įvairios įkrovos parinktys. Pažeidžiamumas atsirado dėl to, kad „Lenovo“ netyčia išsiunčia nešiojamuosius kompiuterius su tvarkyklėmis, kurios buvo skirtos naudoti tik gamybos proceso metu. Silpnosios vietos yra:

  • CVE-2022-3430: galimas WMI sąrankos tvarkyklės pažeidžiamumas kai kuriuose vartotojams skirtuose Lenovo nešiojamuosiuose kompiuteriuose gali leisti aukštesnio lygio užpuolikui keisti saugaus įkrovos parametrus keičiant NVRAM kintamąjį.
  • CVE-2022-3431: galimas kai kurių vartotojų Lenovo nešiojamųjų kompiuterių gamybos proceso metu naudojamos tvarkyklės pažeidžiamumas, kuris nebuvo atsitiktinai išjungtas, gali leisti aukštesnes teises turinčiam užpuolikui pakeisti saugaus įkrovos parametrą pakeičiant NVRAM kintamąjį.
  • CVE-2022-3432: galimas tvarkyklės, naudojamos Ideapad Y700-14ISK gamybos proceso metu, pažeidžiamumas, kuris nebuvo atsitiktinai išjungtas, gali leisti aukštesnes teises turinčiam užpuolikui modifikuoti saugaus įkrovos parametrą nustatant NVRAM kintamąjį.

„Lenovo“ taiso tik pirmuosius du. CVE-2022-3432 nebus pataisyta, nes įmonė nebepalaiko „Ideapad Y700-14ISK“ – nebenaudojamo nešiojamojo kompiuterio modelio, kuris buvo paveiktas. Žmonės, naudojantys kitus pažeidžiamus modelius, turėtų kuo greičiau įdiegti pataisas.

Eik į diskusiją…

Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *