Firma ESET odkryła i przeanalizowała trzy luki w zabezpieczeniach różnych modeli laptopów Lenovo. Mają one wpływ na sterowniki oprogramowania sprzętowego UEFI, które pierwotnie miały być używane wyłącznie podczas procesu produkcyjnego notebooków Lenovo. Niestety zostały one omyłkowo pozostawione w finalnych obrazach BIOS-u bez odpowiedniej dezaktywacji. Co to oznacza dla właścicieli notebooków marki Lenovo? Wykorzystanie tych luk pozwoliłoby potencjalnym atakującym na skuteczną instalację i wykonanie złośliwego oprogramowania UEFI w postaci implantów pamięci SPI flash, takich jak LoJax lub implantów ESP, takich jak najnowsze odkrycie badaczy ESET o nazwie ESPecter. Wszystkie odkryte luki zostały zgłoszone producentowi w październiku 2021 roku. Łączna lista urządzeń dotkniętych lukami obejmuje ponad sto różnych modeli laptopów, z których korzystają miliony użytkowników na całym świecie. Wśród nich znajdują się zarówno niedrogie modele, takie jak Ideapad-3, jak i te bardziej zaawansowane – Legion 5 Pro-16ACH6H lub Yoga Slim 9-14ITL05.  

Na ogół użytkownicy komputerów mają do czynienia z zagrożeniami, które zagnieżdżają się na dysku twardym, w pamięci operacyjnej lub rejestrze. Jednak zagrożenia UEFI przenikają głębiej i rezydują w pamięci UEFI - interfejsie startowym urządzenia łączącym system operacyjny z oprogramowaniem sprzętowym. To sprawia, że są one trudniejsze do wykrycia i usunięcia, a przez to znacznie groźniejsze. Złośliwe programy UEFI są uruchamiane we wczesnym etapie procesu rozruchu komputera, przed przekazaniem kontroli systemowi operacyjnemu. To oznacza, że mogą one ominąć praktycznie wszystkie zabezpieczenia, które mogłyby zapobiec wykonaniu złośliwego kodu.   

Furtki dla cyberprzestępców w laptopach Lenovo

Pierwsze dwie z odkrytych luk CVE-2021-3970 i CVE-2021-3971 są nazywane „bezpiecznymi” backdoorami wbudowanymi w oprogramowanie układowe UEFI, ponieważ taką nazwę nadano sterownikom w laptopach Lenovo, które stanowią furtkę dla cyberprzestępców (SecureBackDoor i SecureBackDoorPeim). Te wbudowane backdoory można aktywować w celu wyłączenia zabezpieczeń pamięci SPI flash lub funkcji UEFI Secure Boot, mechanizmu, który ma za zadanie weryfikować uruchamiane pliki wykonywalne podczas początkowej fazy rozruchu komputera. Właśnie podczas badań tych dwóch backdoorów eksperci bezpieczeństwa ESET odkryli trzecią lukę (CVE-2021-3972), która pozwala na dowolny odczyt, zapis z/do pamięci SMRAM, co może zostać wykorzystane do wykonania szkodliwego kodu z uprawnieniami SMM.   

SMM to wysoko uprzywilejowany tryb wykonania w procesorach x86. Kod SMM jest pisany w kontekście konkretnego oprogramowania sprzętowego i jest zwykle używany do różnych zadań, w tym zaawansowanego zarządzania zasilaniem, wykonywania prawnie zastrzeżonego oprogramowania oraz bezpiecznych aktualizacji oprogramowania sprzętowego. To pokazuje szeroki wachlarz, jakim dysponują atakujący, którzy uzyskali możliwość wykonania kodu w tym trybie.

Co mogą zrobić posiadacze laptopów Lenovo?

Firma ESET zdecydowanie zaleca wszystkim posiadaczom laptopów Lenovo, aby zapoznali się z listą urządzeń, których dotyczy ten problem i zaktualizowali ich oprogramowanie sprzętowe, postępując zgodnie z instrukcjami producenta. Pełną listę urządzeń można znaleźć na oficjalnej stronie internetowej Lenovo.

Dla tych, którzy korzystają z niewspieranych już przez producenta urządzeń dotkniętych luką UEFI SecureBootBackdoor (CVE-2021-3970), jednym ze sposobów ochrony przed niepożądaną modyfikacją opcji UEFI Secure Boot jest użycie rozwiązania do szyfrowania całego dysku z wykorzystaniem TPM, które uniemożliwi dostęp do danych w przypadku zmiany konfiguracji UEFI Secure Boot.

Autor:

Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa ESET