Az ESET kutatói három olyan sebezhetőséget fedeztek fel és elemeztek ki, amelyek a Lenovo gyártmányú laptopokat érintik. Az ESET 2021. októberében az összes felfedezett sérülékenységről tájékoztatta a Lenovót. Az érintett eszközök listája több, mint száz különböző laptopmodellt tartalmaz, amelyek világszerte több millió felhasználót érintenek.
E sebezhetőségek lehetővé tehetik a támadók számára, hogy olyan UEFI-t (a BIOS utódja) támadó kódokat telepíthessenek, mint például az SPI Flash memóriát érintő LoJax, vagy a most felfedezett, UEFI bootkithez kapcsolódó ESPecter kártevő.
Az UEFI-kártevők rendkívül alattomosak és veszélyesek lehetnek. Ezek még a rendszerindítási folyamat elején kezdenek működni, mielőtt átadnák a vezérlést az operációs rendszernek, ami azt jelenti, hogy ezáltal számos, operációs rendszer szinten futó biztonsági intézkedést meg tudnak kerülni. - mondta a sebezhetőségeket felfedező Martin Smolár, az ESET kutatója. Felfedezésük azt mutatja, hogy bizonyos esetekben az UEFI-kártevők észrevétlen telepítése sajnos nem is olyan nehézkes, mint azt korábban tapasztalták, és az elmúlt években felfedezett új UEFI fenyegetések növekvő száma arra utal, hogy a támadók is kihasználják ezt.
Az elmúlt években felfedezett valamennyi korábbi UEFI-fenyegetésnek - LoJax, a MosaicRegressor, a MoonBounce, ESPecter, a FinSpy kártevő - meg kellett kerülnie vagy ki kellett kapcsolnia a biztonsági mechanizmusokat ahhoz, hogy telepíteni és végrehajtani lehessen.
Az UEFI rendszerindítási és működtetési szolgáltatásai biztosítják azokat az alapvető funkciókat és adatstruktúrákat, amelyek szükségesek az illesztőprogramok (driver) és alkalmazások működése érdekében, például a különféle protokollok telepítéséhez, a már meglévő protokollok kereséséhez, vagy a memóriafelosztáshoz. A biztonsági rések közül az első kettő - CVE-2021-3971, CVE-2021-3972 - az UEFI firmware meghajtókat érinti, amelyeket eredetileg csak a Lenovo notebookok gyártási folyamata során használtak volna.
Sajnos tévedésből a gyártási BIOS-ba is bekerültek, anélkül, hogy megfelelően deaktiválták volna őket. Ráadásul a vizsgálat során az ESET felfedezett egy harmadik sebezhetőséget is: az SMM memória (System Management Mode) sérülését.
Ez a biztonsági rés illetéktelen olvasást/írást tesz lehetővé az SMRAM-ban, ami rosszindulatú kód futtatásához vezethet SMM jogosultságok birtokában, illetve lehetővé teszi kártékony modulok SPI flash-re való telepítését.
A különböző firmware-implementációk nagy száma és ezek összetettsége miatt sajnos valószínűleg a jövőben is felbukkanhatnak hasonló, jelenleg még felfedezetlen sérülékenységek. Az ESET kutatói határozottan azt tanácsolják a Lenovo laptopok tulajdonosainak, hogy mindenképpen nézzék át az érintett eszközök listáját, és a gyártó utasításait követve haladéktalanul frissítsék firmware-üket.
További részletes technikai információkat az ESET angol nyelvű WeLiveSecurity blogján olvashatunk.