Фото REUTERS
Специалисты ESET порекомендовали всем владельцам устройств Lenovo просмотреть список моделей ноутбуков с уязвимостью и обновить свое программное обеспечение.
Компания ESET - лидер в области информационной безопасности, обнаружила три уязвимости в различных моделях ноутбуков Lenovo. Использование этих уязвимостей позволяет злоумышленникам развертывать и запускать угрозы, нацеленные на встроенное программное обеспечение UEFI. В частности вредоносные программы могут быть реализованы в форме флеш-модулей SPI, как в случае LoJax, или ESP-модулей подобно недавно обнаруженной угрозе ESPecter.
В октябре 2021 года исследователи ESET сообщили компании Lenovo обо всех обнаруженных уязвимостях в ноутбуках. Среди таких устройств свыше сотни различных моделей ноутбуков с миллионами пользователей во всем мире.
"UEFI-угрозы могут быть очень опасными. Они выполняются в начале процесса загрузки перед передачей управления операционной системе. Это означает, что такие вредоносные программы могут обойти почти все механизмы безопасности в стеке, которые могут предотвратить исполнение компонентов", - рассказывает Мартин Смолар, исследователь ESET. - Выявление так называемых "безопасных" бэкдоров для UEFI демонстрирует, что в некоторых случаях развернуть и реализовать UEFI-угрозу не так сложно, как ожидалось. В то время как появление большего количества таких угроз в реальной среде за последние годы свидетельствует о том, что злоумышленники знают об этом".
Более точное название для двух из этих уязвимостей в ноутбуках (CVE-2021-3970, CVE-2021-3971) - "безопасные" бэкдоры. Именно так названы драйверы Lenovo UEFI, которые реализуют одну из этих уязвимостей (CVE-2021-3971): SecureBackDoor и SecureBackDoorPeim. Эти встроенные бэкдоры можно активировать для отключения защиты модуля SPI или функции безопасной загрузки UEFI из процесса привилегированного режима пользователя во время работы операционной системы.
В дополнение к этому, во время исследования бинарных файлов "безопасных" бэкдоров специалисты ESET обнаружили третью уязвимость в ноутбуках - повреждение памяти режима управления системой в функции обработчика SW SMI (CVE-2021-3972). Эта уязвимость позволяет произвольно читать и записывать с или в SMRAM, что может привести к выполнению вредоносного кода с привилегиями режима управления системой и развертывание флеш-модуля SPI.
Службы загрузки и выполнения UEFI обеспечивают основные функции, необходимые для работы драйверов и программ, например, установку протоколов, определение местоположения существующих протоколов, выделение памяти, управление переменными UEFI и другие.
В то время как режим управления системой является привилегированным режимом выполнения процессоров x86. Его код написан в контексте встроенного программного обеспечения системы и, как правило, используется для различных задач, включая расширенное управление питанием, выполнение соответствующего кода производителя и безопасное обновление.
"Все угрозы для UEFI, обнаруженные за последние годы, в частности LoJax, MosaicRegressor, MoonBounce, ESPecter, FinSpy, для развертывания и выполнения определенным образом обходили или выключали механизмы безопасности", - объясняет исследователь ESET.
Специалисты ESET рекомендуют всем владельцам устройств Lenovo просмотреть список моделей ноутбуков с уязвимостью и обновить встроенное программное обеспечение согласно с инструкций производителя.
Для пользователей ноутбуков с уязвимостью, которым уже недоступны исправления в связи с завершением поддержки, одним из способов защиты от нежелательного изменения состояния безопасной загрузки UEFI является использование решения для полнодискового шифрования с поддержкой TPM, способного сделать данные диска недоступными в случае изменения конфигурации безопасной загрузки UEFI.
Полную версию исследования можно найти по ссылке.
ESET - эксперт в сфере защиты от киберпреступности и цифровых угроз, международный разработчик решений по ИТ-безопасности, ведущий поставщик в области создания технологий обнаружения угроз. Основана в 1992 году, компания ESET сегодня имеет расширенную партнерскую сеть и представительства в более чем 180 странах мира. Главный офис компании находится в Братиславе, Словакия.
Более 15 лет продукты ESET официально представлены на территории Украины. Начиная с 2005 года, пользователи могут бесплатно обратиться за помощью в службу технической поддержки ESET в Украине, а также пройти курсы обучения по использованию продуктов ESET. Пользователями ESET являются крупнейшие украинские и международные компании и организации.
Более подробная информация о компании и продуктах ESET доступна на украинском официальном сайте www.eset.com/ua/.