I ricercatori hanno avvertito mercoledì che più di due dozzine di modelli di laptop Lenovo sono vulnerabili ad attacchi dannosi che disabilitano il processo di avvio sicuro UEFI e quindi eseguono applicazioni UEFI non firmate o montano permanentemente un bootloader che compromette il dispositivo.
Allo stesso tempo, hanno affermato i ricercatori della società di sicurezza ESET Rilevare i punti deboliproduttore di laptop Rilascia gli aggiornamenti di sicurezza 25 modelli, inclusi ThinkPad, Yoga Slim e IdeaPad. Le vulnerabilità che minano UEFI Secure Boot possono essere pericolose perché consentono agli aggressori di installare firmware dannoso che sopravvive a più reinstallazioni del sistema operativo.
Non comune, ma raro
Abbreviazione di Unified Extensible Firmware Interface, UEFI è il software che collega il firmware di un computer al suo sistema operativo. Essendo il primo pezzo di codice che viene eseguito all’accensione di quasi tutti i dispositivi moderni, è il primo anello della catena di sicurezza. Poiché UEFI si trova in un chip flash sulla scheda madre, è difficile rilevare e rimuovere l’infezione. Azioni tipiche come pulire il disco rigido e reinstallare il sistema operativo non hanno alcun effetto apprezzabile perché l’infezione UEFI reinfetterà quindi il computer.
ESET ha affermato che le vulnerabilità, tracciate come CVE-2022-3430, CVE-2022-3431 e CVE-2022-3432, “consentono di disabilitare UEFI Secure Boot o di ripristinare i database di avvio protetto predefiniti di fabbrica (incluso dbx): tutto semplicemente da un sistema operativo.” Secure Boot utilizza i database per consentire e negare i meccanismi. Un database DBX, in particolare, memorizza gli hash crittografici delle chiavi rifiutate. La disabilitazione o il ripristino dei valori predefiniti nei database consente a un utente malintenzionato di rimuovere le restrizioni che normalmente sarebbero in vigore.
“Cambiare le cose nel firmware dal sistema operativo non è comune, ma piuttosto raro”, ha detto in un’intervista un ricercatore specializzato in sicurezza del firmware, che ha preferito non essere nominato. “La maggior parte delle persone intende che per modificare le impostazioni nel firmware o nel BIOS, devi avere accesso fisico per premere il pulsante DEL all’avvio per accedere all’installazione e fare le cose lì. Quando puoi fare alcune cose dal sistema operativo, questo è un grosso problema”.
La disabilitazione di UEFI Secure Boot consente agli aggressori di eseguire applicazioni UEFI dannose, cosa che di solito non è possibile perché Secure Boot richiede la firma crittografica delle applicazioni UEFI. Nel frattempo, il ripristino del DBX predefinito di fabbrica consente agli aggressori di caricare un bootloader vulnerabile. Ad agosto, i ricercatori della società di sicurezza Eclypsium Ho identificato tre driver importanti Possono essere utilizzati per bypassare l’avvio protetto quando l’attaccante ha privilegi elevati, ad esempio amministratore su Windows o root su Linux.
Le vulnerabilità possono essere sfruttate manomettendo le variabili nella NVRAM, la RAM non volatile che memorizza varie opzioni di avvio. Le vulnerabilità sono causate dalla spedizione accidentale di laptop Lenovo con driver progettati solo per l’uso durante il processo di produzione. I punti deboli sono:
- CVE-2022-3430: una possibile vulnerabilità nel driver di installazione WMI su alcuni notebook Lenovo consumer potrebbe consentire a un utente malintenzionato con privilegi elevati di modificare le impostazioni di avvio protetto modificando la variabile NVRAM.
- CVE-2022-3431: una potenziale vulnerabilità in un driver utilizzato durante il processo di produzione su alcuni notebook Lenovo consumer che non è stato disattivato accidentalmente potrebbe consentire a un utente malintenzionato con privilegi elevati di modificare l’impostazione Secure Boot modificando la variabile NVRAM.
- CVE-2022-3432: una potenziale vulnerabilità in un driver utilizzato durante il processo di produzione sull’Ideapad Y700-14ISK che non è stato disattivato accidentalmente potrebbe consentire a un utente malintenzionato con privilegi elevati di modificare l’impostazione Secure Boot impostando la variabile NVRAM.
Lenovo corregge solo i primi due. CVE-2022-3432 non verrà aggiornato perché l’azienda non supporta più l’Ideapad Y700-14ISK, il modello di laptop fuori uso che è stato interessato. Le persone che utilizzano uno qualsiasi degli altri modelli vulnerabili dovrebbero installare le patch il prima possibile.