Οι χάκερ μπορούν να μολύνουν περισσότερα από 100 μοντέλα Lenovo με μη αφαιρούμενο κακόβουλο λογισμικό. Είσαι μπαλωμένος;

Getty Images

Η Lenovo κυκλοφόρησε ενημερώσεις ασφαλείας για περισσότερα από 100 μοντέλα φορητών υπολογιστών για να διορθώσει κρίσιμα τρωτά σημεία που επιτρέπουν στους προχωρημένους χάκερ να εγκαταστήσουν κρυφά κακόβουλο υλικολογισμικό που μπορεί να είναι σχεδόν αδύνατο να αφαιρεθεί ή, σε ορισμένες περιπτώσεις, να εντοπιστεί.

Τρεις ευπάθειες που επηρεάζουν περισσότερους από 1 εκατομμύριο φορητούς υπολογιστές μπορούν να δώσουν στους χάκερ τη δυνατότητα να τροποποιήσουν το UEFI ενός υπολογιστή. Σύντομη για Ενοποιημένη επεκτάσιμη διεπαφή υλικολογισμικού, το UEFI είναι το λογισμικό που γεφυρώνει το υλικολογισμικό της συσκευής ενός υπολογιστή με το λειτουργικό του σύστημα. Ως το πρώτο λογισμικό που εκτελείται όταν σχεδόν οποιοδήποτε σύγχρονο μηχάνημα είναι ενεργοποιημένο, είναι ο αρχικός κρίκος στην αλυσίδα ασφαλείας. Επειδή το UEFI βρίσκεται σε ένα τσιπ flash στη μητρική πλακέτα, οι μολύνσεις είναι δύσκολο να εντοπιστούν και ακόμη πιο δύσκολο να αφαιρεθούν.

Ωχ όχι

Δύο από τα τρωτά σημεία — που παρακολουθούνται ως CVE-2021-3971 και CVE-2021-3972 — βρίσκονται σε προγράμματα οδήγησης υλικολογισμικού UEFI που προορίζονται για χρήση μόνο κατά τη διαδικασία κατασκευής των φορητών υπολογιστών Lenovo για καταναλωτές. Οι μηχανικοί της Lenovo συμπεριέλαβαν κατά λάθος τα προγράμματα οδήγησης στις εικόνες του BIOS παραγωγής χωρίς να έχουν απενεργοποιηθεί σωστά. Οι χάκερ μπορούν να εκμεταλλευτούν αυτά τα προγράμματα οδήγησης σφαλμάτων για να απενεργοποιήσουν τις προστασίες, συμπεριλαμβανομένης της ασφαλούς εκκίνησης UEFI, των bit μητρώου ελέγχου του BIOS και του μητρώου προστατευμένου εύρους, τα οποία αποθηκεύονται στο σειριακή περιφερειακή διεπαφή (SPI) και έχει σχεδιαστεί για να αποτρέπει μη εξουσιοδοτημένες αλλαγές στο υλικολογισμικό που εκτελεί.

Αφού ανακάλυψαν και ανέλυσαν τα τρωτά σημεία, ερευνητές από την εταιρεία ασφαλείας ESET βρήκαν ένα τρίτο θέμα ευπάθειας, το CVE-2021-3970. Επιτρέπει στους χάκερ να εκτελούν κακόβουλο υλικολογισμικό όταν ένα μηχάνημα τίθεται σε λειτουργία διαχείρισης συστήματος, έναν τρόπο λειτουργίας υψηλού προνομίου που χρησιμοποιείται συνήθως από κατασκευαστές υλικού για διαχείριση συστήματος χαμηλού επιπέδου.

«Με βάση την περιγραφή, όλα αυτά είναι αρκετά «ωχ όχι» επιθέσεις για αρκετά προχωρημένους εισβολείς», είπε ο Trammel Hudson, ερευνητής ασφαλείας που ειδικεύεται σε hacks υλικολογισμικού, στο Ars. “Η παράκαμψη των δικαιωμάτων flash SPI είναι πολύ κακό.”

Είπε ότι η σοβαρότητα μπορεί να μειωθεί από προστασίες όπως το BootGuard, το οποίο έχει σχεδιαστεί για να εμποδίζει μη εξουσιοδοτημένα άτομα να εκτελούν κακόβουλο υλικολογισμικό κατά τη διαδικασία εκκίνησης. Και πάλι, ερευνητές στο παρελθόν έχουν αποκαλύψει κρίσιμα τρωτά σημεία που ανατρέπουν το BootGuard. Περιλαμβάνουν α τριάδα ελαττωμάτων ανακαλύφθηκε από τον Hudson το 2020 και εμπόδισε την προστασία να λειτουργεί όταν ένας υπολογιστής βγήκε από την κατάσταση αναστολής λειτουργίας.

Σέρνεται στο mainstream

Αν και είναι ακόμα σπάνια, τα λεγόμενα εμφυτεύματα SPI γίνονται όλο και πιο κοινά. Μία από τις μεγαλύτερες απειλές του Διαδικτύου – ένα κομμάτι κακόβουλου λογισμικού γνωστό ως Trickbot – το 2020 άρχισε να ενσωματώνει ένα πρόγραμμα οδήγησης στη βάση του κώδικα που επιτρέπει στους ανθρώπους να εγγραφή υλικολογισμικού σε σχεδόν οποιαδήποτε συσκευή. Οι μόνες άλλες δύο τεκμηριωμένες περιπτώσεις κακόβουλου υλικολογισμικού UEFI που χρησιμοποιούνται στη φύση είναι LoJaxτο οποίο γράφτηκε από τη ρωσική κρατική ομάδα χάκερ γνωστή με πολλά ονόματα, όπως Sednit, Fancy Bear ή APT 28. Η δεύτερη περίπτωση ήταν κακόβουλο λογισμικό UEFI της εταιρείας ασφαλείας Η Kaspersky ανακάλυψε σε υπολογιστές διπλωματικών προσώπων στην Ασία.

Και τα τρία τρωτά σημεία της Lenovo που ανακαλύφθηκαν από την ESET απαιτούν τοπική πρόσβαση, πράγμα που σημαίνει ότι ο εισβολέας πρέπει να έχει ήδη τον έλεγχο του ευάλωτου υπολογιστή με απεριόριστα προνόμια. Ο πήχης για αυτό το είδος πρόσβασης είναι υψηλός και πιθανότατα θα απαιτούσε την εκμετάλλευση μιας ή περισσότερων κρίσιμων άλλων τρωτών σημείων αλλού που θα έβαζαν ήδη έναν χρήστη σε σημαντικό κίνδυνο.

Ωστόσο, τα τρωτά σημεία είναι σοβαρά επειδή μπορούν να μολύνουν ευάλωτους φορητούς υπολογιστές με κακόβουλο λογισμικό που υπερβαίνει κατά πολύ αυτό που είναι συνήθως δυνατό με πιο συμβατικό κακόβουλο λογισμικό. Η Lenovo έχει μια λίστα εδώ περισσότερα από 100 μοντέλα που επηρεάζονται.

Leave a Comment