Badacze Esetu odkryli luki w laptopach Lenovo, które narażają użytkowników na ryzyko instalacji złośliwego oprogramowania UEFI.

Wykorzystanie tych podatności umożliwiłoby atakującym instalację i uruchomienie złośliwego oprogramowania UEFI w postaci implantów pamięci SPI flash, takich jak LoJax lub implantów ESP, np. ESPecter. Ich wykrycie może być niemożliwe dla wielu programów antywirusowych.

Ujawnione luki zostały zgłoszone producentowi w październiku 2021 r. Narażonych jest ponad sto modeli laptopów Lenovo, z których korzystają miliony użytkowników na całym świecie.

Lista urządzeń, których dotyczy problem, jest dostępna na stronie wsparcia Lenovo.

Zalecana jest aktualizacja oprogramowania sprzętowego w zagrożonych modelach.

Problem to skutek niedopatrzenia producenta – otóż w finalnych obrazach BIOS-u omyłkowo pozostawiono bez dezaktywacji sterowniki oprogramowania sprzętowego UEFI, używane wyłącznie podczas produkcji notebooków.

Ekspert: dlaczego te luki są groźne

„Na ogół użytkownicy komputerów mają do czynienia z zagrożeniami, które zagnieżdżają się na dysku twardym, w pamięci operacyjnej lub rejestrze. Jednak zagrożenia UEFI przenikają głębiej i rezydują w pamięci UEFI – interfejsie startowym urządzenia łączącym system operacyjny z oprogramowaniem sprzętowym. To sprawia, że są one trudniejsze do wykrycia i usunięcia, a przez to znacznie groźniejsze” – wyjaśnia Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa w Esecie.

Jak dodaje, złośliwe programy UEFI są uruchamiane we wczesnym etapie procesu rozruchu komputera, przed przekazaniem kontroli systemowi operacyjnemu. To oznacza, że mogą one ominąć praktycznie wszystkie zabezpieczenia, które mogłyby zapobiec wykonaniu złośliwego kodu.

Furtki dla cyberprzestępców

Pierwsze dwie z odkrytych luk (CVE-2021-3970 i CVE-2021-3971) są nazywane „bezpiecznymi” backdoorami wbudowanymi w oprogramowanie UEFI, ponieważ tak nazwano sterowniki w laptopach Lenovo, stanowiące furtkę dla cyberprzestępców (SecureBackDoor i SecureBackDoorPeim).

Te wbudowane backdoory można aktywować w celu wyłączenia zabezpieczeń pamięci SPI flash lub funkcji UEFI Secure Boot – mechanizmu, który weryfikuje uruchamiane pliki wykonywalne podczas początkowej fazy rozruchu komputera.

Trzecia luka (CVE-2021-3972) pozwala na dowolny odczyt, zapis z/do pamięci SMRAM, co może zostać wykorzystane do wykonania szkodliwego kodu z uprawnieniami SMM (wysoko uprzywilejowany tryb wykonania w procesorach x86). To pokazuje szeroki wachlarz, jakim dysponują atakujący, którzy uzyskali możliwość wykonania kodu w tym trybie – mówi ekspert Esetu.

„Dla tych, którzy korzystają z niewspieranych już przez producenta urządzeń dotkniętych luką UEFI SecureBootBackdoor (CVE-2021-3970), jednym ze sposobów ochrony przed niepożądaną modyfikacją opcji UEFI Secure Boot jest użycie rozwiązania do szyfrowania całego dysku z wykorzystaniem TPM, które uniemożliwi dostęp do danych w przypadku zmiany konfiguracji UEFI Secure Boot” – radzi Kamil Sadkowski.