Çeşitli Lenovo tüketici dizüstü bilgisayar modellerini etkileyen ve kötü niyetli aktörlerin etkilenen cihazlara bellenim implantları yerleştirmesine ve yürütmesine olanak tanıyan üç yüksek etkili Birleşik Genişletilebilir Ürün Yazılımı Arabirimi (UEFI) güvenlik açığı keşfedildi.
ESET araştırmacısı Martin Smolár, CVE-2021-3970, CVE-2021-3971 ve CVE-2021-3972 olarak izlenen son iki “firmware sürücülerini başlangıçta yalnızca Lenovo tüketici dizüstü bilgisayarlarının üretim sürecinde kullanılması amaçlanmıştır” dedim bugün yayınlanan bir raporda
Smolár, “Ne yazık ki, düzgün bir şekilde devre dışı bırakılmadan üretim BIOS görüntülerine de yanlışlıkla dahil edildiler,” diye ekledi.
Kusurlardan başarılı bir şekilde yararlanılması, bir saldırganın SPI flaş korumalarını veya Güvenli Önyüklemeyi devre dışı bırakmasına izin vererek, düşmana sistem yeniden başlatmalarında hayatta kalabilecek kalıcı kötü amaçlı yazılım yükleme yeteneği sağlar.
Öte yandan CVE-2021-3970, Sistem Yönetim Modundaki bir bellek bozulması durumuyla ilgilidir (SMM) en yüksek ayrıcalıklarla kötü niyetli kodun yürütülmesine yol açar.
Üç kusur, PC üreticisine 11 Ekim 2021’de bildirildi ve ardından yamalar 12 Nisan 2022’de yayınlandı. Lenovo tarafından açıklanan üç kusurun bir özeti aşağıdadır –
- CVE-2021-3970 – Bazı Lenovo Notebook modellerinde yetersiz doğrulama nedeniyle LenovoVariable SMI Handler’daki olası bir güvenlik açığı, yerel erişime ve yükseltilmiş ayrıcalıklara sahip bir saldırganın rastgele kod yürütmesine izin verebilir.
- CVE-2021-3971 – Yanlışlıkla BIOS görüntüsüne dahil edilen bazı tüketici Lenovo Dizüstü Bilgisayar aygıtlarında daha eski üretim süreçleri sırasında kullanılan bir sürücünün olası bir güvenlik açığı, yükseltilmiş ayrıcalıklara sahip bir saldırganın bir NVRAM değişkenini değiştirerek bellenim koruma bölgesini değiştirmesine izin verebilir.
- CVE-2021-3972 – Bazı tüketici Lenovo Dizüstü Bilgisayar aygıtlarında üretim işlemi sırasında kullanılan ve yanlışlıkla devre dışı bırakılmayan bir sürücünün olası bir güvenlik açığı, yükseltilmiş ayrıcalıklara sahip bir saldırganın bir NVRAM değişkenini değiştirerek güvenli önyükleme ayarını değiştirmesine izin verebilir.
Lenovo Flex’i etkileyen zayıflıklar; IdeaPad’ler; lejyon; V14, V15 ve V17 serisi; ve Yoga dizüstü bilgisayarlar, Insyde Software’in InsydeH2O, HP’sindeki 50’ye varan ürün yazılımı güvenlik açığının ifşa edilmesine katkıda bulunur. UEFIve Dell yılın başından beri.
Smolár, “UEFI tehditleri son derece gizli ve tehlikeli olabilir.” Dedi. “Önyükleme sürecinin başlarında, kontrolü işletim sistemine aktarmadan önce yürütülürler; bu, işletim sistemi yüklerinin yürütülmesini engelleyebilecek yığında daha yüksek olan neredeyse tüm güvenlik önlemlerini ve azaltmaları atlayabilecekleri anlamına gelir.”