Компания ESET – лидер в области информационной безопасности, обнаружила три уязвимости в различных моделях ноутбуков Lenovo. Использование этих уязвимостей позволяет злоумышленникам развертывать и запускать угрозы, нацеленные на встроенное программное обеспечение UEFI. В частности вредоносные программы могут быть реализованы в форме флеш-модулей SPI, как в случае LoJax, или ESP-модулей подобно недавно обнаруженной угрозе ESPecter.

В октябре 2021 года исследователи ESET сообщили компании Lenovo обо всех обнаруженных уязвимостях в ноутбуках. Среди таких устройств свыше сотни различных моделей ноутбуков с миллионами пользователей во всем мире.

“UEFI-угрозы могут быть очень опасными. Они выполняются в начале процесса загрузки перед передачей управления операционной системе. Это означает, что такие вредоносные программы могут обойти почти все механизмы безопасности в стеке, которые могут предотвратить исполнение компонентов”, – рассказывает Мартин Смолар, исследователь ESET. – Выявление так называемых “безопасных” бэкдоров для UEFI демонстрирует, что в некоторых случаях развернуть и реализовать UEFI-угрозу не так сложно, как ожидалось. В то время как появление большего количества таких угроз в реальной среде за последние годы свидетельствует о том, что злоумышленники знают об этом”.

Более точное название для двух из этих уязвимостей в ноутбуках (CVE-2021-3970, CVE-2021-3971) – “безопасные” бэкдоры. Именно так названы драйверы Lenovo UEFI, которые реализуют одну из этих уязвимостей (CVE-2021-3971): SecureBackDoor и SecureBackDoorPeim. Эти встроенные бэкдоры можно активировать для отключения защиты модуляSPI или функции безопасной загрузки UEFI из процесса привилегированного режима пользователя во время работы операционной системы.

В дополнение к этому, во время исследования бинарных файлов “безопасных” бэкдоров специалисты ESET обнаружили третью уязвимость в ноутбуках – повреждение памяти режима управления системой в функции обработчика SW SMI (CVE-2021-3972). Эта уязвимость позволяет произвольно читать и записывать с или в SMRAM, что может привести к выполнению вредоносного кода с привилегиями режима управления системой и развертывание флеш-модуля SPI.

Службы загрузки и выполнения UEFI обеспечивают основные функции, необходимые для работы драйверов и программ, например, установку протоколов, определение местоположения существующих протоколов, выделение памяти, управление переменными UEFI и другие.

В то время как режим управления системой является привилегированным режимом выполнения процессоров x86. Его код написан в контексте встроенного программного обеспечения системы и, как правило, используется для различных задач, включая расширенное управление питанием, выполнение соответствующего кода производителя и безопасное обновление.

“Все угрозы для UEFI, обнаруженные за последние годы, в частности LoJax, MosaicRegressor, MoonBounce, ESPecter, FinSpy, для развертывания и выполнения определенным образом обходили или выключали механизмы безопасности”, – объясняет исследователь ESET.

Специалисты ESET рекомендуют всем владельцам устройств Lenovo просмотреть список моделей ноутбуков с уязвимостью и обновить встроенное программное обеспечение согласно с инструкций производителя.

Для пользователей ноутбуков с уязвимостью, которым уже недоступны исправления в связи с завершением поддержки, одним из способов защиты от нежелательного изменения состояния безопасной загрузки UEFI является использование решения для полнодискового шифрования с поддержкой TPM, способного сделать данные диска недоступными в случае изменения конфигурации безопасной загрузки UEFI.

Полную версию исследования можно найти по ссылке. 

Читайте также:

О компании:

ESET – эксперт в сфере защиты от киберпреступности и цифровых угроз, международный разработчик решений по ИТ-безопасности, ведущий поставщик в области создания технологий обнаружения угроз. Основана в 1992 году, компания ESET сегодня имеет расширенную партнерскую сеть и представительства в более чем 180 странах мира. Главный офис компании находится в Братиславе, Словакия.

ESET в Украине:

Более 15 лет продукты ESET официально представлены на территории Украины. Начиная с 2005 года, пользователи могут бесплатно обратиться за помощью в службу технической поддержки ESET в Украине, а также пройти курсы обучения по использованию продуктов ESET. Пользователями ESET являются крупнейшие украинские и международные компании и организации. 

Более подробная информация о компании и продуктах ESET доступна на украинском официальном сайте www.eset.com/ua/.