Lenovo, IdeaPad 3, Legion 5 Pro-16ACH6 H ve Yoga Slim 9-14ITL05 dahil olmak üzere dizüstü bilgisayar modellerinin en az 100'ünde yüklü olan Birleşik Genişletilebilir Ürün Yazılımı Arabirimini (UEFI) etkileyen güvenlik açıkları konusunda müşterileri uyarmak için bir güvenlik danışmanlığı yayınladı.
"Lenovo Dizüstü Bilgisayar BIOS'unda aşağıdaki güvenlik açıkları bildirildi." Lenovo tarafından yayınlanan danışma belgesini okur.
- “CVE-2021-3970: Bazı Lenovo Notebook modellerinde yetersiz doğrulama nedeniyle LenovoVariable SMI Handler'daki olası bir güvenlik açığı, yerel erişime ve yükseltilmiş ayrıcalıklara sahip bir saldırganın rasgele kod yürütmesine izin verebilir.
- CVE-2021-3971: Bazı tüketici Lenovo Dizüstü Bilgisayar aygıtlarında eski üretim süreçleri sırasında kullanılan ve yanlışlıkla BIOS görüntüsüne dahil edilen bir sürücünün olası bir güvenlik açığı, yükseltilmiş ayrıcalıklara sahip bir saldırganın bir NVRAM değişkenini değiştirerek üretici yazılımı koruma bölgesini değiştirmesine izin verebilir.
- CVE-2021-3972: Bazı tüketici Lenovo Notebook aygıtlarında üretim işlemi sırasında kullanılan ve yanlışlıkla devre dışı bırakılmayan bir sürücünün olası bir güvenlik açığı, yükseltilmiş ayrıcalıklara sahip bir saldırganın bir NVRAM değişkenini değiştirerek güvenli önyükleme ayarını değiştirmesine izin verebilir."
Üç kusur, ESET araştırmacıları tarafından Ekim ayında Lenovo'ya bildirildi.
CVE-2021-3971 ve CVE-2021-3972 olarak izlenen iki güvenlik açığı, bir saldırgan tarafından SPI flash bellek yongası korumasını devre dışı bırakmak ve UEFI Güvenli Önyükleme özelliğini kapatmak için kullanılabilir.
Güvenli önyükleme, bir aygıtın yalnızca Orijinal Ekipman Üreticisi (OEM) tarafından güvenilen yazılımı kullanarak önyükleme yapmasını sağlamak için bilgisayar endüstrisi üyeleri tarafından geliştirilmiş bir güvenlik standardıdır.
CVE-2021-3970 olarak izlenen üçüncü güvenlik açığı, yerel bir saldırgan tarafından yükseltilmiş ayrıcalıklarla rastgele kod yürütmek için kullanılabilir.
Lenovo UEFI'yi etkileyen güvenlik açıkları, sırasıyla SecureBackDoor ve SecureBackDoorPeim adlı iki UEFI üretici yazılımı sürücüsünün kullanılmasından kaynaklanır. Her iki sürücü de yalnızca üretim sürecinde kullanılır.
"ESET araştırmacıları, çeşitli Lenovo tüketici dizüstü bilgisayar modellerini etkileyen üç güvenlik açığı keşfetti ve analiz etti. Bu güvenlik açıklarından ilk ikisi – CVE-2021-3971, CVE-2021-3972 – başlangıçta yalnızca Lenovo tüketici dizüstü bilgisayarlarının üretim sürecinde kullanılması amaçlanan UEFI üretici yazılımı sürücülerini etkiler.” ESET tarafından yayınlanan danışma belgesini okur. "Ne yazık ki, düzgün bir şekilde devre dışı bırakılmadan, üretim BIOS görüntülerine de yanlışlıkla dahil edildiler."
Araştırmacılar, UEFI güvenlik açıklarının çok sinsidir çünkü tehdit aktörleri tarafından işletim sistemi düzeyinde çalışan güvenlik korumalarını atlayabilen gizli implantlar yerleştirmek için kullanılabilirler.
“Son yıllarda keşfedilen tüm gerçek dünya UEFI tehditlerinin (LoJax, MosaicRegressor, MoonBounce, ESPecter, FinSpy), konuşlandırılıp yürütülebilmesi için güvenlik mekanizmalarını bir şekilde atlamaları veya devre dışı bırakmaları gerekiyordu. Ancak, yalnızca ilk vahşi UEFI rootkit (2018'de ESET Research tarafından keşfedildi) olan LoJax söz konusu olduğunda, bunun nasıl yapıldığına dair bir ipucumuz var - Speed Racer güvenlik açığından yararlanabilen ReWriter_binary kullanarak." ESET'i sonlandırıyor. "Keşfetimiz, yukarıda bahsedilenlerle birlikte, bazı durumlarda UEFI tehditlerinin konuşlandırılmasının beklendiği kadar zor olmayabileceğini ve son yıllarda keşfedilen çok sayıda gerçek dünya UEFI tehdidinin, rakiplerin farkında olduğunu gösteriyor. bunun.”
Etkilenen Lenovo dizüstü bilgisayar sahipleri, üreticinin talimatlarını izleyerek ürün yazılımlarını güncellemelidir, Lenovo, etkilenen dizüstü bilgisayar modellerinin tam listesini yayınladı.