Getty Images
Pētnieki trešdien brīdināja, ka vairāk nekā divi desmiti Lenovo klēpjdatoru modeļu ir neaizsargāti pret ļaunprātīgu uzlaušanu, kas atspējo UEFI drošās sāknēšanas procesu un pēc tam palaiž neparakstītas UEFI lietojumprogrammas vai neatgriezeniski uzstāda sāknēšanas ielādētāju, kas apdraud ierīci.
Tajā pašā laikā pētnieki no drošības uzņēmuma ESET teica Vājumu noteikšanaklēpjdatoru ražotājs Atlaidiet drošības atjauninājumus 25 modeļi, tostarp ThinkPads, Yoga Slims un IdeaPads. Ievainojamības, kas apdraud UEFI drošo sāknēšanu, var būt bīstamas, jo tās ļauj uzbrucējiem instalēt ļaunprātīgu programmaparatūru, kas iztur vairākas OS atkārtotas instalēšanas.
Nav bieži, bet reti
Saīsinājums no Unified Extensible Firmware Interface, UEFI ir programmatūra, kas savieno datora programmaparatūru ar tā operētājsistēmu. Tā kā pirmā koda daļa, kas tiek palaista, ieslēdzot gandrīz jebkuru modernu ierīci, ir pirmais posms drošības ķēdē. Tā kā UEFI atrodas mātesplates zibatmiņas mikroshēmā, infekciju ir grūti noteikt un noņemt. Tipiskām darbībām, piemēram, cietā diska tīrīšanai un operētājsistēmas pārinstalēšanai, nav ievērojamas ietekmes, jo UEFI infekcija pēc tam atkārtoti inficēs datoru.
ESET teica, ka ievainojamības, kas izsekotas kā CVE-2022-3430, CVE-2022-3431 un CVE-2022-3432, “ļauj atspējot UEFI Secure Boot vai atjaunot rūpnīcas noklusējuma drošās sāknēšanas datu bāzes (tostarp dbx): Visas vienkārši no operētājsistēmas.” Drošā sāknēšana izmanto datu bāzes, lai atļautu un liegtu mehānismus. Jo īpaši DBX datu bāze saglabā noraidīto atslēgu kriptogrāfiskās jaucējkodas. Atspējojot vai atjaunojot noklusējuma vērtības datu bāzēs, uzbrucējs var noņemt ierobežojumus, kas parasti būtu spēkā.
“Programmaparatūras maiņa no operētājsistēmas nav izplatīta, bet diezgan reta parādība,” intervijā sacīja pētnieks, kas specializējas programmaparatūras drošībā, kurš vēlējās netikt nosaukts. “Lielākā daļa cilvēku domā, ka, lai mainītu iestatījumus programmaparatūrā vai BIOS, jums ir jābūt fiziskai piekļuvei, lai sāknēšanas laikā izspiestu pogu DEL, lai piekļūtu iestatīšanai un veiktu darbības tur. Kad varat veikt dažas darbības no operētājsistēmas, tas ir sava veida lielais darījums.”
Atspējojot UEFI Secure Boot, uzbrucēji var palaist ļaunprātīgas UEFI lietojumprogrammas, kas parasti nav iespējams, jo drošai sāknēšanai nepieciešama UEFI lietojumprogrammu kriptogrāfiska parakstīšana. Tikmēr rūpnīcas noklusējuma DBX atjaunošana ļauj uzbrucējiem ielādēt ievainojamu sāknēšanas programmu. Augustā apsardzes kompānijas Eclypsium pētnieki Es identificēju trīs ievērojamus autovadītājus Tos var izmantot, lai apietu drošo sāknēšanu, ja uzbrucējam ir paaugstinātas privilēģijas, t.i., administratora tiesības operētājsistēmā Windows vai saknes tiesības operētājsistēmā Linux.
Ievainojamības var izmantot, mainot mainīgos lielumus NVRAM — nepastāvīgā RAM, kurā tiek glabātas dažādas sāknēšanas opcijas. Šīs ievainojamības rada tas, ka Lenovo nejauši piegādā klēpjdatorus ar draiveriem, kas paredzēti lietošanai tikai ražošanas procesā. Vājās vietas ir:
- CVE-2022-3430: iespējama WMI iestatīšanas draivera ievainojamība dažos patērētāju Lenovo piezīmjdatoros var ļaut paaugstināta līmeņa uzbrucējam mainīt drošās sāknēšanas iestatījumus, mainot NVRAM mainīgo.
- CVE-2022-3431: iespējama ievainojamība dažu patērētāju Lenovo piezīmjdatoru ražošanas procesā izmantotajā draiverī, kas netika nejauši deaktivizēts, var ļaut uzbrucējam ar paaugstinātām privilēģijām mainīt drošās sāknēšanas iestatījumu, mainot NVRAM mainīgo.
- CVE-2022-3432: potenciāla ievainojamība draiverī, ko izmantoja Ideapad Y700-14ISK ražošanas procesā un kas netika nejauši deaktivizēts, var ļaut uzbrucējam ar paaugstinātām priviliģētām modifikācijām drošās sāknēšanas iestatījumu, iestatot NVRAM mainīgo.
Lenovo labo tikai pirmos divus. CVE-2022-3432 netiks labots, jo uzņēmums vairs neatbalsta Ideapad Y700-14ISK — novecojušo klēpjdatora modeli, kas tika ietekmēts. Cilvēkiem, kuri izmanto kādu no citiem neaizsargātiem modeļiem, ielāpi jāinstalē pēc iespējas ātrāk.
