Οι ερευνητές προειδοποίησαν την Τετάρτη ότι περισσότερα από δύο δωδεκάδες μοντέλα φορητών υπολογιστών Lenovo είναι ευάλωτα σε κακόβουλες εισβολές που απενεργοποιούν τη διαδικασία ασφαλούς εκκίνησης του UEFI και στη συνέχεια εκτελούν ανυπόγραφες εφαρμογές UEFI ή τοποθετούν μόνιμα ένα bootloader που υπονομεύει τη συσκευή.
Την ίδια στιγμή, ερευνητές από την εταιρεία ασφαλείας ESET Ανίχνευση αδυναμιώνκατασκευαστής φορητών υπολογιστών Δημοσιεύστε ενημερώσεις ασφαλείας 25 μοντέλα, συμπεριλαμβανομένων των ThinkPads, Yoga Slims και IdeaPads. Τα τρωτά σημεία που υπονομεύουν την Ασφαλή εκκίνηση του UEFI μπορεί να είναι επικίνδυνα επειδή επιτρέπουν στους εισβολείς να εγκαταστήσουν κακόβουλο υλικολογισμικό που επιβιώνει από επανεγκατάσταση πολλαπλών λειτουργικών συστημάτων.
Όχι συνηθισμένο, αλλά σπάνιο
Συντομογραφία του Unified Extensible Firmware Interface, το UEFI είναι το λογισμικό που συνδέει το υλικολογισμικό ενός υπολογιστή με το λειτουργικό του σύστημα. Ως το πρώτο κομμάτι κώδικα που εκτελείται όταν ενεργοποιείτε σχεδόν οποιαδήποτε σύγχρονη συσκευή, είναι ο πρώτος κρίκος στην αλυσίδα ασφαλείας. Δεδομένου ότι το UEFI βρίσκεται σε ένα τσιπ flash στη μητρική πλακέτα, είναι δύσκολο να εντοπιστεί και να αφαιρεθεί η μόλυνση. Τυπικές ενέργειες όπως το σκούπισμα του σκληρού δίσκου και η επανεγκατάσταση του λειτουργικού συστήματος δεν έχουν αξιόλογο αποτέλεσμα, επειδή η μόλυνση UEFI θα μολύνει ξανά τον υπολογιστή.
Η ESET είπε ότι τα τρωτά σημεία — παρακολουθούνται ως CVE-2022-3430, CVE-2022-3431 και CVE-2022-3432 — «επιτρέπουν στο UEFI Secure Boot να απενεργοποιηθεί ή να επαναφέρει τις εργοστασιακές προεπιλεγμένες βάσεις δεδομένων Secure Boot (συμπεριλαμβανομένων των dbx): ένα λειτουργικό σύστημα.” Το Secure Boot χρησιμοποιεί βάσεις δεδομένων για να επιτρέπει και να απορρίπτει μηχανισμούς. Μια βάση δεδομένων DBX, συγκεκριμένα, αποθηκεύει κρυπτογραφικούς κατακερματισμούς των κλειδιών που απορρίφθηκαν. Η απενεργοποίηση ή η επαναφορά προεπιλεγμένων τιμών στις βάσεις δεδομένων επιτρέπει σε έναν εισβολέα να αφαιρέσει περιορισμούς που κανονικά θα ίσχυαν.
«Η αλλαγή πραγμάτων στο υλικολογισμικό από το λειτουργικό σύστημα δεν είναι συνηθισμένη, αλλά μάλλον σπάνια», είπε σε μια συνέντευξη ένας ερευνητής που ειδικεύεται στην ασφάλεια υλικολογισμικού, ο οποίος προτίμησε να μην κατονομαστεί. “Οι περισσότεροι εννοούν ότι για να αλλάξετε ρυθμίσεις στο υλικολογισμικό ή στο BIOS, πρέπει να έχετε φυσική πρόσβαση για να σπάσετε το κουμπί DEL στην εκκίνηση για να μπείτε στο πρόγραμμα εγκατάστασης και να κάνετε πράγματα εκεί. Όταν μπορείτε να κάνετε μερικά πράγματα από το λειτουργικό σύστημα, αυτό είναι κάπως το μεγάλο θέμα».
Η απενεργοποίηση της Ασφαλούς εκκίνησης UEFI ελευθερώνει τους εισβολείς να εκτελέσουν κακόβουλες εφαρμογές UEFI, κάτι που συνήθως δεν είναι δυνατό, επειδή η Ασφαλής εκκίνηση απαιτεί κρυπτογραφική υπογραφή εφαρμογών UEFI. Εν τω μεταξύ, η επαναφορά του εργοστασιακού προεπιλεγμένου DBX επιτρέπει στους εισβολείς να φορτώσουν ένα ευάλωτο πρόγραμμα εκκίνησης. Τον Αύγουστο, ερευνητές από την εταιρεία ασφαλείας Eclypsium Αναγνώρισα τρεις εξέχοντες οδηγούς Μπορούν να χρησιμοποιηθούν για την παράκαμψη της ασφαλούς εκκίνησης όταν ο εισβολέας έχει αυξημένα προνόμια, δηλαδή διαχειριστή σε Windows ή root στο Linux.
Τα τρωτά σημεία μπορούν να αξιοποιηθούν με την παραβίαση μεταβλητών στη NVRAM, τη μη πτητική μνήμη RAM που αποθηκεύει διάφορες επιλογές εκκίνησης. Τα τρωτά σημεία προκαλούνται από την κατά λάθος αποστολή φορητών υπολογιστών της Lenovo με προγράμματα οδήγησης που έχουν σχεδιαστεί μόνο για χρήση κατά τη διαδικασία κατασκευής. Αδύναμα σημεία είναι:
- CVE-2022-3430: Μια πιθανή ευπάθεια στο πρόγραμμα οδήγησης WMI Setup σε ορισμένα φορητούς υπολογιστές Lenovo καταναλωτών θα μπορούσε να επιτρέψει σε έναν αυξημένο εισβολέα να τροποποιήσει τις ρυθμίσεις Ασφαλούς εκκίνησης αλλάζοντας τη μεταβλητή NVRAM.
- CVE-2022-3431: Μια πιθανή ευπάθεια σε ένα πρόγραμμα οδήγησης που χρησιμοποιείται κατά τη διαδικασία κατασκευής ορισμένων φορητών υπολογιστών Lenovo καταναλωτών που δεν απενεργοποιήθηκε κατά λάθος θα μπορούσε να επιτρέψει σε έναν εισβολέα με αυξημένα προνόμια να τροποποιήσει τη ρύθμιση Ασφαλούς εκκίνησης αλλάζοντας τη μεταβλητή NVRAM.
- CVE-2022-3432: Μια πιθανή ευπάθεια σε ένα πρόγραμμα οδήγησης που χρησιμοποιείται κατά τη διαδικασία κατασκευής στο Ideapad Y700-14ISK και η οποία δεν απενεργοποιήθηκε κατά λάθος θα μπορούσε να επιτρέψει σε έναν εισβολέα με αυξημένα προνόμια να τροποποιήσει τη ρύθμιση Ασφαλούς εκκίνησης ορίζοντας τη μεταβλητή NVRAM.
Η Lenovo διορθώνει μόνο τα δύο πρώτα. Το CVE-2022-3432 δεν θα διορθωθεί επειδή η εταιρεία δεν υποστηρίζει πλέον το Ideapad Y700-14ISK, το μοντέλο φορητού υπολογιστή στο τέλος της ζωής του που επηρεάστηκε. Τα άτομα που χρησιμοποιούν οποιοδήποτε από τα άλλα ευάλωτα μοντέλα θα πρέπει να εγκαταστήσουν τις ενημερώσεις κώδικα το συντομότερο δυνατό.