Οι ερευνητές της ESET εντόπισαν και ανέλυσαν τρεις ευπάθειες που επηρεάζουν διάφορα μοντέλα φορητών υπολογιστών Lenovo. Οι ευπάθειες αυτές θα μπορούσαν να επιτρέψουν σε κακόβουλους εισβολείς να αναπτύξουν και να εκτελέσουν με επιτυχία κακόβουλο λογισμικό στο UEFI είτε με τη μορφή SPI flash implants, όπως το LoJax, είτε με τη μορφή ESP implants, όπως το ESPecter.
Τον Οκτώβριο του 2021, η ESET ενημέρωσε τη Lenovo για όλες οι ευπάθειες που είχαν εντοπιστεί. Συνολικά, ο κατάλογος των επηρεαζόμενων συσκευών περιλαμβάνει περισσότερα από εκατό διαφορετικά μοντέλα φορητών υπολογιστών με εκατομμύρια χρήστες παγκοσμίως.
«Οι απειλές UEFI μπορεί να είναι εξαιρετικά δυσδιάκριτες και επικίνδυνες. Εκτελούνται νωρίς στη διαδικασία εκκίνησης, πριν μεταφερθεί ο έλεγχος στο λειτουργικό σύστημα, πράγμα που σημαίνει ότι μπορούν να παρακάμψουν σχεδόν όλα τα μέτρα ασφαλείας και τα περιοριστικά μέτρα», αναφέρει ο ερευνητής της ESET Martin Smolár, ο οποίος εντόπισε τις ευπάθειες.
«Η ανακάλυψη των λεγόμενων ‘ασφαλών’ backdoors στο UEFI δείχνει ότι σε ορισμένες περιπτώσεις, η ανάπτυξη των απειλών UEFI μπορεί να μην είναι τόσο δύσκολη όσο νομίζουμε και ο μεγάλος αριθμός απειλών UEFI που εντοπίστηκαν τα τελευταία χρόνια υποδηλώνει ότι οι αντίπαλοι το γνωρίζουν αυτό», προσθέτει.
Οι δύο πρώτες ευπάθειες – CVE-2021-3970, CVE-2021-3971 – ίσως είναι πιο σωστό να ονομάζονται «ασφαλή» backdoors ενσωματωμένα στο UEFI firmware, καθώς αυτό είναι κυριολεκτικά το όνομα που δόθηκε στους UEFI drivers της Lenovo που υλοποιούν μία από αυτές (CVE-2021-3971): SecureBackDoor και SecureBackDoorPeim. Τα επηρεαζόμενα UEFI firmware drivers μπορούν να ενεργοποιηθούν από τους εισβολείς για να απενεργοποιήσουν τις δυνατότητες προστασίας SPI flash (BIOS control register bits και protected-range registers) ή τη δυνατότητα ασφαλούς εκκίνησης UEFI από μια διαδικασία προνομιακής λειτουργίας χρήστη κατά τη διάρκεια του χρόνου εκτέλεσης του λειτουργικού συστήματος.
Επιπλέον, κατά τη διερεύνηση των παραπάνω κενών ασφαλείας, εντοπίστηκε μια τρίτη ευπάθεια: (CVE-2021-3972). Η ευπάθεια επιτρέπει αυθαίρετες εγγραφές προς και από την SMRAM, που θα μπορούσαν να οδηγήσουν στην εκτέλεση κακόβουλου κώδικα με προνόμια SMM και πιθανώς στη χρήση κάποιου SPI flash implant.
Η ESET Research συμβουλεύει όλους τους κατόχους φορητών υπολογιστών Lenovo να μελετήσουν τη λίστα των επηρεαζόμενων συσκευών και να ενημερώσουν το firmware τους ακολουθώντας τις οδηγίες του κατασκευαστή.
Όσοι χρησιμοποιείτε συσκευές οι οποίες δεν υποστηρίζονται (End Of Development Support) και επηρεάζονται από το UEFI SecureBootBackdoor (CVE-2021-3970) χωρίς να υπάρχουν διαθέσιμες διορθώσεις, θα μπορούσατε να προστατέψετε τη συσκευή σας από ανεπιθύμητη τροποποίηση της κατάστασης UEFI Secure Boot χρησιμοποιώντας κάποια λύση κρυπτογράφησης δίσκου TPM-aware, που θα είναι ικανή για να καταστήσει τα δεδομένα του δίσκου μη προσβάσιμα σε περίπτωση αλλαγής της διαμόρφωσης UEFI Secure Boot.
Για περισσότερες τεχνικές πληροφορίες, μπορείτε να ανατρέξετε στο blogpost When “secure” isn’t secure at all: High-impact UEFI vulnerabilities discovered in Lenovo consumer laptops στο WeLiveSecurity.
Ακολουθήστε την ESET Research στο Twitter για τα τελευταία νέα από την ESET Research