У Мережі з’явилося повідомлення про те, що понад 20 моделей ноутбуків Lenovo вразливі для шкідливих хаків, які відключають процес безпечного завантаження UEFI, запускають аналогічні непідписані додатки і встановлюють завантажувачі, що роблять пристрої відкритими для хакерів.
Подробиці
Після того, як дослідницька група ESET виявила недоліки, виробник ноутбуків випустив оновлення безпеки для 25-и моделей, включно з “топовими” ThinkPad, Yoga Slims і IdeaPad. Уразливості, що порушують безпечне завантаження UEFI, дають змогу зловмисникам встановлювати шкідливе ПЗ, здатне зберегти працездатність навіть після численних перевстановлень ОС.
Зловреди під кодовими позначеннями CVE-2022-3430/CVE-2022-3431/CVE-2022-3432 (цитата) “дають змогу відключити UEFI Secure Boot або відновити заводські бази даних Secure Boot за замовчуванням”, наголошується у звіті ESET. Зокрема, у базі даних DBX зберігаються криптографічні хеші відмовних ключів. Зловмисник може усунути чинні обмеження шляхом вимкнення та/або відновлення даних, встановлених у базах за замовчуванням.
UEFI (акронім від Unified Extensible Firmware Interface) – програма, що з’єднує мікропрограму ноутбука (ПК) з його операційною системою. Це перша ланка в ланцюзі безпеки, яка запускається під час увімкнення практично будь-якої сучасної машини. Зараження важко виявити і видалити, оскільки UEFI зберігається у флеш-чипі на материнській платі. Стирання жорсткого диска і перевстановлення ОС не дають жодного ефекту, оскільки вірус UEFI легко заразить комп’ютер заново.
Уразливості можна використовувати, змінюючи змінні в NVRAM (енергонезалежній оперативній пам’яті, в якій зберігаються численні варіанти завантаження). Недоліки є наслідком випуску компанією Lenovo ноутбуків із драйверами, призначеними виключно для використання в процесі виробництва.
Характеристики виявлених зловредів:
– CVE-2022-3430: уразливість у драйвері WMI Setup на деяких споживчих пристроях Lenovo Notebook, що дає змогу зловмисникам із підвищеним доступом змінювати параметри безпечного завантаження шляхом корекції змінної NVRAM.
– CVE-2022-3431: уразливість у драйвері, що використовується в процесі виробництва на деяких споживчих пристроях Lenovo Notebook. Якщо девайс залишити увімкненим, цей шкідник дасть змогу “просунутим” хакерам змінити параметри безпечного завантаження шляхом зміни змінної NVRAM.
– CVE-2022-3432: уразливість у драйвері, що використовується в процесі виробництва Ideapad Y700-14ISK. У ввімкненому пристрої “просунуті” зловмисники можуть поміняти параметри безпечного завантаження шляхом зміни змінної NVRAM.
