Lenovo, birkaç dizüstü bilgisayarda bulunan üç güvenlik açığıyla ilgili bir güvenlik uyarısı yayınladı. Kusurlar, şirketin IdeaPad, Legion ve Yoga portföylerinde 100’den fazla Lenovo dizüstü bilgisayar modelini etkiliyor. Bir saldırgan, güvenlik açıklarını kullanarak Birleşik Genişletilebilir Ürün Yazılımı Arabirimi (UEFI) Güvenli Önyükleme özelliğini devre dışı bırakabilir ve dizüstü bilgisayarda rastgele kod çalıştırabilir. Üretici, etkilenen dizüstü bilgisayar modellerine sahip kullanıcılara, korunmaları için resmi web sitesinden bu cihazlar için en son üretici yazılımına güncelleme yapmalarını tavsiye etti.
ESET araştırmacıları tarafından üç güvenlik açığı keşfedildi ve dizüstü bilgisayar başlatıldığında güvenilir kodu doğrulamak ve yüklemek için tasarlanan UEFI Güvenli Önyükleme özelliğini etkiliyor. Bunlar araştırmacılar tarafından Ekim 2021’de Lenovo’ya sorumlu bir şekilde ifşa edildi. Güvenlik açıkları şirket tarafından Kasım ayında onaylandı ve üç CVE (Ortak Güvenlik Açıkları ve Etkilenmeler) atandı – CVE-2021-3970, CVE-2021-3971 ve CVE-2021 -3972 ve bir güvenlik danışmanlığı yayınlanan Pazartesi günü üretici tarafından.
ESET’e göre, yayınlanan güvenlik açıklarının ayrıntılı bir teknik analizi, güvenlik açıklarından ikisi – CVE-2021-3971 (SecureBackDoor) ve CVE-2021-3972 (ChgBootDxeHook), yanlışlıkla iki UEFI üretici yazılımı sürücüsünün bellenime eklenmesinden sonra şirket tarafından tanıtıldı. Bu sürücüler yalnızca dizüstü bilgisayar üretilirken kullanılır ve saldırganlar tarafından UEFI Güvenli Önyükleme özelliğini kapatmak ve UEFI sabit yazılımını depolayan flash bellek yongası için korumayı devre dışı bırakmak için kullanılabilir. İşletim sistemindeki güvenlik yazılımı ve diğer çözümler, işletim sistemi yüklenmeden önce, önyükleme işleminin başlarında yürütüldükleri için bu tehditleri algılayamaz.
Güvenli Önyükleme tarafından sunulan tüm güvenlik özelliklerini atlamak için, ESET tarafından keşfedilenler gibi UEFI tehditleri, güvenilir kodu yüklemek için tasarlanmış güvenli mekanizmaları devre dışı bırakır. Araştırmacılara göre, LoJax, MosaicRegressor, MoonBounce, ESPecter, FinSpy dahil olmak üzere vahşi doğada keşfedilen tüm UEFI tehditleri, kötü niyetli kodlarını yürütmek için bu mekanizmaları atlayabildi. HP ürün yazılımında da benzer güvenlik kusurları keşfedildi, yayınlanan Geçen ay SentinelOne tarafından.
Araştırmacılar ayrıca, yükseltilmiş ayrıcalıklarla sistem yönetimi RAM’inde (veya SMRAM) rastgele kod yürütülmesine yol açabilecek üçüncü bir güvenlik açığı veya CVE-2021-3970 (LenovoVariableSmm) buldular. ESET’teki araştırmacılara göre bazı durumlarda UEFI Secure Boot özelliğini devre dışı bırakmak için ChgBootDxeHook sürücüsünü etkinleştirmek için kullanılabilir. Keşfedilen üç güvenlik açığının tümü, saldırganın cihaza yerel erişimi olmasını gerektiriyor, ancak Lenovo’nun bu kusurlara danışma belgesinde “Orta” bir önem düzeyi atadığını belirtmekte fayda var.
Araştırmacılara göre, milyonlarca kullanıcı tarafından kullanılan 100’den fazla tüketici dizüstü bilgisayar modeli güvenlik açıklarından etkileniyor. Aktif geliştirme desteğine sahip cihazlara sahip kullanıcılar, indirmek Lenovo’nun Danışmanlık web sitesinden dizüstü bilgisayarları için en son ürün yazılımı güncellemesi. Ancak, Geliştirme Sonu Desteğine (EODS) ulaştıklarından, etkilenen diğer birkaç cihaz düzeltilmeyecektir. Ancak bu kullanıcılar, ESET araştırmacılarına göre, UEFI Güvenli Önyükleme yapılandırması değiştirilmişse, disk verilerine erişilemez hale getirmek için TPM’ye duyarlı tam disk şifrelemesi kullanabilir.