„Lenovo“ tvarkyklės klaidos kelia pavojų 25 nešiojamųjų kompiuterių modelių naudotojams


„Lenovo“ tvarkyklės klaidos kelia pavojų 25 nešiojamųjų kompiuterių modelių naudotojams

Getty Images

Mokslininkai trečiadienį perspėjo, kad daugiau nei dvi dešimtys „Lenovo“ nešiojamųjų kompiuterių modelių yra pažeidžiami kenkėjiškų įsilaužimų, kurie išjungia UEFI saugaus įkrovos procesą ir paleidžia nepasirašytas UEFI programas arba įkelia įkrovos įkroviklius, kurie visam laikui uždaro įrenginį.

Tuo pačiu metu saugos įmonės ESET mokslininkai atskleidė pažeidžiamumąužrašų knygelių gamintojas išleisti saugos naujinimai 25 modeliams, įskaitant ThinkPads, Yoga Slims ir IdeaPads. Pažeidžiamumas, kenkiantis saugiam UEFI įkrovimui, gali būti rimtas, nes dėl jų užpuolikai gali įdiegti kenkėjišką programinę-aparatinę įrangą, kuri išgyvena kelis operacinės sistemos diegimus iš naujo.

Nedažnas, net retas

Vieningos išplečiamos programinės įrangos sąsajos trumpinys – UEFI yra programinė įranga, sujungianti kompiuterio įrenginio programinę-aparatinę įrangą su jo operacine sistema. Kaip pirmoji kodo dalis, kuri paleidžiama, kai įjungiamas beveik bet kuris modernus įrenginys, tai yra pirmoji saugos grandinės grandis. Kadangi UEFI yra pagrindinės plokštės „flash“ mikroschemoje, infekcijas sunku aptikti ir pašalinti. Įprastos priemonės, tokios kaip standžiojo disko nuvalymas ir OS įdiegimas iš naujo, neturi reikšmingo poveikio, nes UEFI infekcija vėliau tiesiog iš naujo užkrės kompiuterį.

ESET teigė, kad pažeidžiamumas, stebimas kaip CVE-2022-3430, CVE-2022-3431 ir CVE-2022-3432, „leidžia išjungti UEFI Secure Boot arba atkurti gamyklines numatytąsias saugaus įkrovos duomenų bazes (įskaitant dbx): visa tai tiesiog iš OS . Saugus įkrovimas naudoja duomenų bazes, leidžiančias ir uždrausti mechanizmus. Visų pirma DBX duomenų bazėje saugomos uždraustų raktų kriptografinės maišos. Išjungus arba atkūrus numatytąsias duomenų bazių vertes, užpuolikas gali pašalinti apribojimus, kurie paprastai būtų taikomi.

„Programinės aparatinės įrangos keitimas iš OS nėra įprastas, netgi retas“, – interviu sakė programinės aparatinės įrangos saugumo srityje besispecializuojantis tyrėjas, kuris norėjo būti neįvardytas. „Dauguma žmonių reiškia, kad norint pakeisti programinės aparatinės įrangos arba BIOS nustatymus, reikia turėti fizinę prieigą, kad paleidžiant būtų galima paspausti mygtuką DEL, kad įeitumėte į sąranką ir atliktumėte veiksmus. Kai galite atlikti kai kuriuos dalykus iš OS, tai yra didelis dalykas.

Išjungus UEFI saugų įkrovą, užpuolikai gali vykdyti kenkėjiškas UEFI programas, o tai paprastai neįmanoma, nes norint saugiai paleisti UEFI programas reikia pasirašyti kriptografiškai. Tuo tarpu gamyklos numatytosios DBX atkūrimas leidžia užpuolikams įkelti pažeidžiamas įkrovos tvarkykles. Rugpjūčio mėnesį saugos įmonės „Eclypsium“ tyrėjai nustatė tris svarbias programinės įrangos tvarkykles kuris gali būti naudojamas norint apeiti saugų įkrovą, kai užpuolikas turi padidintas teises, ty administratorių sistemoje Windows arba root sistemoje Linux.

Pažeidžiamumas gali būti išnaudotas pažeidžiant kintamuosius NVRAM, nepastovioje RAM, kurioje saugomos įvairios įkrovos parinktys. Pažeidžiamumas atsirado dėl to, kad „Lenovo“ per klaidą pristatė nešiojamuosius kompiuterius su tvarkyklėmis, kurios buvo skirtos naudoti tik gamybos proceso metu. Pažeidžiamumas yra:

  • CVE-2022-3430: galimas WMI sąrankos tvarkyklės pažeidžiamumas kai kuriuose vartotojams skirtuose „Lenovo Notebook“ įrenginiuose gali leisti užpuolikui, turinčiam padidintas teises, keisti saugaus įkrovos parametrus pakeičiant NVRAM kintamąjį.
  • CVE-2022-3431: galimas tvarkyklės, naudojamos kai kurių vartotojų Lenovo Notebook įrenginių gamybos proceso metu, pažeidžiamumas, kuris per klaidą nebuvo išaktyvintas, gali leisti užpuolikui, turinčiam padidintas teises, pakeisti saugaus įkrovos parametrą pakeičiant NVRAM kintamąjį.
  • CVE-2022-3432: Dėl galimo Ideapad Y700-14ISK gamybos proceso metu naudojamo tvarkyklės pažeidimo, kuris per klaidą nebuvo išjungtas, užpuolikas, turintis padidintas teises, gali pakeisti saugaus įkrovos parametrą koreguojant NVRAM kintamąjį.

„Lenovo“ pataiso tik pirmuosius du. CVE-2022-3432 nebus pataisyta, nes įmonė nebepalaiko Ideapad Y700-14ISK – nebenaudojamo nešiojamojo kompiuterio modelio, kuris turi įtakos. Žmonės, naudojantys kitus pažeidžiamus modelius, turėtų kuo greičiau įdiegti pataisas.

Eiti į diskusiją…