Эксперты ESET по кибербезопасности обнаружили три уязвимости в системе безопасности в сотнях различных моделей ноутбуков Lenovo, которые могут подвергнуть риску миллионы пользователей.
ESET заявила, что использование этих уязвимостей позволит злоумышленникам успешно развертывать и запускать вредоносное ПО UEFI в виде флэш-имплантатов SPI, таких как LoJax, или имплантатов ESP, таких как ESPecter.
Всего было обнаружено три уязвимости, которые теперь отслеживаются как CVE-2021-3970, CVE-2021-3971 (также известная как SecureBackDoor и SecureBackDoorPreim) и CVE-3972 (повреждение памяти SMM в роли диспетчера SW SMI).
Обход мер безопасности
Первые два можно включить, чтобы отключить защиту флэш-памяти SPI (биты регистра управления BIOS и регистры диапазона защиты) или безопасную загрузку UEFI из процесса привилегированного пользовательского режима во время работы системы. Третий, поясняет ESET, может позволить злоумышленнику выполнить вредоносный код с привилегиями SMM, что может привести к внедрению флэш-имплантата SPI.
По словам исследователя ESET Мартина Смолара, чрезвычайно опасными их делает то, что они позволяют использовать угрозы UEFI, которые выполняются в начале процесса загрузки, до передачи управления операционной системе.
Esto significa que pueden eludir "casi todas las medidas de seguridad y mitigaciones más altas en la pila que podrían evitar que se ejecuten las cargas útiles de su sistema operativo", dijo.
Это не первая обнаруженная угроза UEFI. Однако все они (включая LoJax, MosaicRegressor, MoonBounce, ESPecter или FinSpy) должны обходить или отключать механизмы безопасности устройства, чтобы они могли работать.
Службы загрузки и выполнения UEFI необходимы для работы любой конечной точки, поскольку драйверы и приложения требуют их правильной работы.
Los investigadores de ESET recomiendan "fuertemente" a todos los propietarios de computadoras portátiles Lenovo que revisen la lista de dispositivos afectados que se encuentra aquí y actualicen el firmware de acuerdo con las instrucciones del fabricante.
Владельцы, чьи устройства достигли конца срока службы, могут использовать решение для полного шифрования диска, совместимое с TPM, способное сделать данные на диске недоступными, изменив параметры безопасной загрузки UEFI, заключила ESET.