Οι χάκερ μπορούν να μολύνουν περισσότερα από 100 μοντέλα Lenovo με μη αφαιρούμενο κακόβουλο λογισμικό. Διορθώθηκες;

Η Lenovo κυκλοφόρησε ενημερώσεις ασφαλείας για περισσότερα από 100 μοντέλα φορητών υπολογιστών για να διορθώσει κρίσιμα τρωτά σημεία που επιτρέπουν στους προχωρημένους χάκερ να εγκαθιστούν κρυφά κακόβουλο υλικολογισμικό που σε ορισμένες περιπτώσεις μπορεί να είναι αδύνατο να αφαιρεθεί ή να εντοπιστεί.

Τρία τρωτά σημεία που επηρεάζουν περισσότερους από ένα εκατομμύριο φορητούς υπολογιστές μπορούν να δώσουν στους χάκερ τη δυνατότητα να τροποποιήσουν το UEFI του υπολογιστή. σύντομη για Ενοποιημένη εκτεταμένη διεπαφή λογισμικούΤο UEFI είναι το λογισμικό που συνδέει το υλικολογισμικό ενός υπολογιστή με το λειτουργικό του σύστημα. Ως το πρώτο λογισμικό που εκτελείται όταν ενεργοποιείτε σχεδόν οποιαδήποτε σύγχρονη συσκευή, είναι ο αρχικός κρίκος στην αλυσίδα ασφαλείας. Επειδή το UEFI είναι ενσωματωμένο σε ένα τσιπ flash στη μητρική πλακέτα, η μόλυνση είναι δύσκολο να εντοπιστεί και ακόμη και να αφαιρεθεί.

Ωχ όχι

Δύο ευπάθειες – που εντοπίζονται ως CVE-2021-3971 και CVE-2021-3972 – υπάρχουν στα προγράμματα οδήγησης υλικολογισμικού UEFI που προορίζονται για χρήση μόνο κατά τη διαδικασία κατασκευής των φορητών υπολογιστών για καταναλωτές Lenovo. Οι μηχανικοί της Lenovo συμπεριέλαβαν κατά λάθος προγράμματα οδήγησης στις εικόνες του BIOS παραγωγής χωρίς να τα απενεργοποιήσουν σωστά. Οι χάκερ μπορούν να εκμεταλλευτούν προγράμματα οδήγησης buggy για να απενεργοποιήσουν τις προστασίες, όπως η Ασφαλής εκκίνηση του UEFI, τα bit μητρώου ελέγχου του BIOS και το μητρώο προστατευμένου εύρους, τα οποία είναι αποθηκευμένα σε σειριακή διεπαφή τερματικού (SPI) και έχει σχεδιαστεί για να αποτρέπει μη εξουσιοδοτημένες αλλαγές στο υλικολογισμικό που εκτελεί.

Αφού ανακάλυψαν και ανέλυσαν τα τρωτά σημεία, ερευνητές από την εταιρεία ασφαλείας ESET βρήκαν ένα τρίτο θέμα ευπάθειας, το CVE-2021-3970. Επιτρέπει στους χάκερ να εκτελούν κακόβουλο υλικολογισμικό όταν η συσκευή τίθεται σε λειτουργία διαχείρισης συστήματος, έναν εξαιρετικά προνομιακό τρόπο λειτουργίας που χρησιμοποιείται συνήθως από κατασκευαστές υλικού για διαχείριση συστήματος χαμηλού επιπέδου.

Ο Trammell Hudson, ένας ερευνητής ασφάλειας που ειδικεύεται στην hacking υλικολογισμικού, είπε στην Ars: “Με βάση την περιγραφή, αυτοί είναι όλοι καλοί τύποι επιθέσεων για αρκετά προχωρημένους επιτιθέμενους”. “Η παράκαμψη των δικαιωμάτων Flash SPI είναι πολύ κακό.”

Είπε ότι ο κίνδυνος μπορεί να μειωθεί με προστασίες όπως το BootGuard, το οποίο έχει σχεδιαστεί για να αποτρέπει μη εξουσιοδοτημένα άτομα από την εκτέλεση κακόβουλου υλικολογισμικού κατά τη διαδικασία εκκίνησης. Και πάλι, οι ερευνητές στο παρελθόν ανακάλυψαν σοβαρά τρωτά σημεία που υπονομεύουν το BootGuard. περιλαμβάνουν τριπλά ελαττώματα Ανακαλύφθηκε από τον Hudson το 2020 ότι εμπόδισε την προστασία να λειτουργεί όταν ο υπολογιστής βγήκε από την κατάσταση αναστολής λειτουργίας.

Αναζητήστε στο mainstream

Αν και είναι ακόμα σπάνια, τα λεγόμενα εμφυτεύματα SPI γίνονται όλο και πιο κοινά. Μία από τις μεγαλύτερες απειλές του Διαδικτύου – ένα κομμάτι κακόβουλου λογισμικού γνωστό ως Trickbot – ξεκίνησε το 2020 ενσωματώνοντας ένα πρόγραμμα οδήγησης στη βάση του κώδικα που επιτρέπει στους ανθρώπους να Γράψτε υλικολογισμικό σχεδόν σε οποιαδήποτε συσκευή. Οι μόνες άλλες δύο τεκμηριωμένες περιπτώσεις κακόβουλου υλικολογισμικού UEFI που χρησιμοποιούνται στη φύση είναι LOJAXτο οποίο γράφτηκε από μια ρωσική κυβερνητική ομάδα χάκερ γνωστή με διάφορα ονόματα, όπως Sednit, Fancy Bear ή APT 28. Η δεύτερη περίπτωση ήταν κακόβουλο λογισμικό UEFI που χρησιμοποιούσε η εταιρεία ασφαλείας Ανακαλύψτε το Kaspersky στους υπολογιστές διπλωματικών προσωπικοτήτων στην Ασία.

Τα τρία τρωτά σημεία της Lenovo που ανακάλυψε η ESET απαιτούν τοπική πρόσβαση, πράγμα που σημαίνει ότι ο εισβολέας πρέπει να έχει ήδη τον έλεγχο της ευάλωτης συσκευής με απεριόριστα προνόμια. Το εμπόδιο σε αυτόν τον τύπο πρόσβασης είναι υψηλό και πιθανότατα θα απαιτούσε την εκμετάλλευση μιας ή περισσότερων άλλων κρίσιμων τρωτών σημείων αλλού που θα έβαζαν ήδη τον χρήστη σε μεγάλο κίνδυνο.

Ωστόσο, τα τρωτά σημεία είναι επικίνδυνα επειδή μπορούν να μολύνουν ευάλωτους φορητούς υπολογιστές με κακόβουλο λογισμικό που υπερβαίνει κατά πολύ αυτό που είναι συνήθως δυνατό με το παραδοσιακό κακόβουλο λογισμικό. Η Lenovo έχει μια λίστα εδώ Από πάνω από 100 επηρεασμένα μοντέλα.