Bug de driver da Lenovo representa risco de segurança para usuários de 25 modelos de notebooks

Boas fotos

Duas dúzias de modelos de notebooks Lenovo são vulneráveis ​​a hacks maliciosos que desativam o processo UEFI Secure Boot e, em seguida, executam aplicativos UEFI não assinados ou carregam bootloaders que fazem backdoor permanente no dispositivo, alertaram pesquisadores na quarta-feira.

Ao mesmo tempo, pesquisadores da empresa de segurança ESET Revelou os efeitosFabricante de cadernos Atualizações de segurança lançadas Para 25 modelos, incluindo ThinkPads, Yoga Slims e IdeaPads. Vulnerabilidades que prejudicam o UEFI Secure Boot podem ser graves porque possibilitam que invasores criem firmware malicioso que pode sobreviver a várias reinstalações do sistema operacional.

Não é comum, mesmo raro

Abreviação de Unified Extensible Firmware Interface, UEFI é um software que conecta o firmware do dispositivo de um computador ao seu sistema operacional. Quando qualquer máquina moderna é ligada, ela é o primeiro elo da cadeia de segurança. Como o UEFI reside no chip flash da placa-mãe, é difícil detectar e remover infecções. Ações de rotina, como limpar o disco rígido e reinstalar o sistema operacional, não terão um impacto significativo, pois a infecção UEFI reinfectará o sistema posteriormente.

As vulnerabilidades, rastreadas pela ESET como CVE-2022-3430, CVE-2022-3431 e CVE-2022-3432, “permitem que a UEFI desabilite o Secure Boot ou restaure os bancos de dados Secure Boot padrão de fábrica: from dbx to all.” Mecanismos de inicialização segura permitir e negar bancos de dados. usos. O banco de dados DBX, em particular, armazena hashes criptográficos das chaves negadas. Desabilitar ou redefinir valores padrão nos bancos de dados possibilita que um invasor remova os controles que normalmente existem.

“Mudar as coisas do sistema operacional para o firmware não é comum, até raro”, disse um pesquisador especializado em segurança de firmware, que pediu para não ser identificado, em entrevista. “Para a maioria das pessoas, para alterar as configurações no firmware ou BIOS, isso significa que você precisa ter acesso físico para quebrar o botão DEL na inicialização para entrar no sistema e fazer coisas lá. grande coisa.”

READ  2022 PGA Championship Leaderboard: Cobertura ao vivo, Tiger Woods Score, Golf Scores Today na Rodada 1

Desabilitar o UEFI Secure Boot libera os invasores para executar aplicativos UEFI maliciosos, o que geralmente é impossível porque os aplicativos UEFI devem ser assinados criptograficamente para inicialização segura. Enquanto isso, restaurar o DBX padrão de fábrica permite que os invasores carreguem carregadores de inicialização vulneráveis. Em agosto, pesquisadores da empresa de segurança Eclypsium Identificou três drivers de software principais Isso pode ser usado para ignorar a inicialização segura quando um invasor tiver privilégios elevados, como administrador no Windows ou root no Linux.

As vulnerabilidades podem ser exploradas adulterando variáveis ​​na RAM não volátil, NVRAM, que armazena várias opções de inicialização. As vulnerabilidades são o resultado do envio equivocado de notebooks da Lenovo com drivers que são usados ​​apenas durante o processo de fabricação. Efeitos:

  • CVE-2022-3430: Uma vulnerabilidade no driver de configuração WMI em alguns notebooks Lenovo pode permitir que um invasor com privilégios elevados modifique as configurações de Inicialização Segura alterando a variável NVRAM.
  • CVE-2022-3431: Uma vulnerabilidade potencial em um driver usado durante o processo de fabricação em alguns dispositivos de notebook Lenovo de consumidor que não falham por padrão pode permitir que um invasor com privilégios elevados modifique o sistema Secure Boot alterando uma variável NVRAM.
  • CVE-2022-3432: Uma vulnerabilidade potencial em um driver usado durante o processo de produção no IdeaPad Y700-14ISK que não está desabilitado por engano pode permitir que um invasor com privilégios elevados modifique o sistema Secure Boot modificando a variável NVRAM.

A Lenovo combina apenas os dois primeiros. O CVE-2022-3432 não será corrigido porque a empresa não suporta mais o Ideapad Y700-14ISK, o modelo de notebook em fim de vida afetado. Pessoas que usam outros modelos vulneráveis ​​devem instalar patches o mais rápido possível.

READ  Rússia participa de reunião do G20 dominada pelo conflito na Ucrânia

Vai para discussão…

Deixe uma resposta

O seu endereço de email não será publicado.