В Сети появилось сообщение о том, что более 20-и моделей ноутбуков Lenovo уязвимы для вредоносных хаков, отключающих процесс безопасной загрузки UEFI, запускающих аналогичные неподписанные приложения и устанавливающих загрузчики, которые делают устройства открытыми для хакеров.
Подробности
После того, как исследовательская группа ESET обнаружила недостатки, производитель ноутбуков выпустил обновления безопасности для 25-и моделей, включая «топовые» ThinkPad, Yoga Slims и IdeaPad. Уязвимости, нарушающие безопасную загрузку UEFI, позволяют злоумышленникам устанавливать вредоносное ПО, способное сохранить работоспособность даже после многочисленных переустановок ОС.
Зловреды под кодовыми обозначениями CVE-2022-3430/CVE-2022-3431/CVE-2022-3432 (цитата) “позволяют отключить UEFI Secure Boot или восстановить заводские базы данных Secure Boot по умолчанию», отмечается в отчете ESET. В частности, в базе данных DBX хранятся криптографические хэши отказных ключей. Злоумышленник может устранить действующие ограничения путем отключения и/или восстановления данных, установленных в базах по умолчанию.
UEFI (акроним от Unified Extensible Firmware Interface) – программа, соединяющая микропрограмму ноутбука (ПК) с его операционной системой. Это первое звено в цепи безопасности, которое запускается при включении практически любой современной машины. Заражения трудно обнаружить и удалить, поскольку UEFI хранится во флеш-чипе на материнской плате. Стирание жесткого диска и переустановка ОС не дают никакого эффекта, поскольку вирус UEFI легко заразит компьютер заново.
Уязвимости можно использовать, изменяя переменные в NVRAM (энергонезависимой оперативной памяти, в которой хранятся многочисленные варианты загрузки). Недостатки являются следствием выпуска компанией Lenovo ноутбуков с драйверами, предназначенными исключительно для использования в процессе производства.
Характеристики выявленных зловредов:
– CVE-2022-3430: уязвимость в драйвере WMI Setup на некоторых потребительских устройствах Lenovo Notebook, позволяющая злоумышленникам с повышенным доступом менять параметры безопасной загрузки путем коррекции переменной NVRAM.
– CVE-2022-3431: уязвимость в драйвере, используемом в процессе производства на некоторых потребительских устройствах Lenovo Notebook. Если девайс оставить включенным, этот зловред позволит «продвинутым» хакерам поменять параметры безопасной загрузки путем изменения переменной NVRAM.
– CVE-2022-3432: уязвимость в драйвере, используемом в процессе производства Ideapad Y700-14ISK. При включенном устройстве «продвинутые» злоумышленники могут поменять параметры безопасной загрузки путем изменения переменной NVRAM.