Обнаружение критических уязвимостей в ноутбуках Lenovo

Использование критических уязвимостей UEFI может позволить вредоносному ПО скрываться в прошивке.

Прежде, чем продолжить, необходимо определиться с терминологией. UEFI (сокращение от Unified Extensible Firmware Interface) это низкоуровневое программное обеспечение, которое запускается при включении компьютера до загрузки операционной системы. По сути, UEFI это более продвинутый вариант хорошо известного всем BIOS-а, который хранится в энергонезависимой памяти (флеш-памяти) любого компьютера или другого вычислительного устройства. Крупные производители оборудования постоянно вносят усовершенствования в UEFI своих продуктов и устраняют в них различные уязвимости.

Компания Lenovo не является в этом смысле исключением. Недавно она выпустила обновления безопасности более чем для 100 моделей своих ноутбуков, чтобы устранить критические уязвимости, позволяющие продвинутым хакерам скрытно устанавливать вредоносные микропрограммы, которые практически невозможно удалить или, в некоторых случаях, обнаружить.

Существует три уязвимости, затрагивающие свыше 1 миллиона ноутбуков Lenovo, которые могут дать хакерам возможность изменять UEFI. Поскольку UEFI прошито в энергонезависимую память на материнской плате компьютера, вредоносную программу трудно обнаружить и ещё труднее удалить.

Две уязвимости, CVE-2021-3971 и CVE-2021-3972, находятся в драйверах прошивки UEFI, предназначенной для использования только в процессе производства потребительских ноутбуков Lenovo. Инженеры Lenovo по ошибке включили эти драйверы в серийные образы UEFI, не отключив их должным образом. Хакеры могут использовать эти неправильно работающие драйверы для отключения средств защиты, включая безопасную загрузку UEFI, биты регистра управления BIOS и регистр защищенного диапазона, которые встроены в последовательный периферийный интерфейс (SPI) и предназначены для предотвращения несанкционированных изменений в прошивке, которую он запускает.

После обнаружения и анализа уязвимостей исследователи из компании-разработчика антивирусного программного обеспечения и решений в области компьютерной безопасности ESET, обнаружили третью уязвимость, CVE-2021-3970. Она может позволить хакерам запускать вредоносные микропрограммы в тот момент, когда компьютер переводится в режим управления системой, режим работы с высокими привилегиями, обычно используемый производителями оборудования для низкоуровневого управления системой.

В принципе, серьёзность возникшей проблемы может быть уменьшена с помощью таких средств защиты, как Intel® Boot Guard, предназначенных для предотвращения запуска вредоносного микропрограммного обеспечения неавторизованными лицами во время процесса загрузки. С другой стороны, в прошлом исследователи обнаружили критические уязвимости и в самой Boot Guard. К ним, в частности, относится три уязвимости, обнаруженные в 2020 году, которые не позволяли защите работать, когда компьютер выходил из спящего режима.

Для записи в энергонезависимую память используется протокол связи SPI, предложенный компанией Motorola. Хотя так называемые SPI-закладки всё ещё редки, постепенно они становятся всё более распространёнными. Одна из самых больших угроз Интернета — вредоносная программа, известная как Trickbot, — в 2020 году начала включать в свою кодовую базу драйвер, который позволяет людям записывать прошивку практически на любое устройство. Двумя другими задокументированными случаями использования вредоносной прошивки UEFI являются LoJax, которая была написана хакерской группой, известной под несколькими именами: Sednit, Fancy Bear или APT 28. (В западных СМИ эту группу связывают с Россией, хотя убедительных доказательств этому не приводилось). Вторым примером была вредоносная программа UEFI, которую лаборатория Касперского обнаружила на компьютерах дипломатических деятелей в Азии.

Все три уязвимости, обнаруженные ESET в ноутбуках Lenovo, требуют локального доступа, а это означает, что злоумышленник уже должен иметь контроль с неограниченными привилегиями над уязвимым компьютером. Планка для получения такого доступа высока и, скорее всего, потребует использования одной или нескольких других критических уязвимостей, которые уже подвергают пользователя значительному риску.

Тем не менее, обнаруженные уязвимости серьезны, поскольку с их помощью появляется возможность заразить уязвимые ноутбуки ПО, вред от которого может выйти далеко за рамки того, что обычно возможно с обычными вредоносными программами. Компания Lenovo опубликовала список более чем из 100 моделей, которые подвержены этой проблеме.