Dünya çapında milyonlarca kişi tarafından kullanılan 100’den fazla farklı Lenovo tüketici dizüstü bilgisayarı, saldırganlara bir sabit sürücü değişimi veya işletim sistemi yeniden yüklendikten sonra bile sistemde kalabilen kötü amaçlı yazılımları bırakmaları için bir yol sağlayan üretici yazılımı düzeyinde güvenlik açıkları içerir.
Güvenlik açıklarından ikisi (CVE-2021-3971 ve CVE-2021-3972), yalnızca üretim sürecinde kullanılması amaçlanan Birleşik Genişletilebilir Ürün Yazılımı Arabirimi (UEFI) sürücülerini içerir, ancak yanlışlıkla sistemle birlikte gelen BIOS görüntüsünün bir parçası haline gelir. bilgisayarlar. Üçüncüsü (CVE-2021-3970), sistem hatalarını algılama ve kaydetme işlevindeki bir bellek bozulması hatasıdır.
ESET, güvenlik açıklarını keşfetti ve bunları Ekim 2021’de Lenovo’ya bildirdi. Donanım üreticisi bu hafta yayınlanan BIOS güncellemeleri Etkilenen tüm modellerdeki kusurları ele almak. Ancak, güncellemeye yardımcı olmak için Lenovo’nun otomatik araçlarına sahip olmadıkça, kullanıcıların güncellemeleri manuel olarak yüklemeleri gerekecektir.
UEFI sabit yazılımı, bir bilgisayar açılırken sistem güvenliğini ve bütünlüğünü sağlar. Ürün yazılımı, bilgisayarın önyüklenirken dolaylı olarak güvendiği ve kullandığı bilgileri içerir. Bu nedenle, bellenime gömülü herhangi bir kötü amaçlı kod, bilgisayar açılmadan ve güvenlik araçları sistemi olası tehditler ve güvenlik açıkları açısından inceleme şansı bulamadan önce yürütülür.
Son yıllarda, sözde güvenli başlatma işlemi sırasında kötü amaçlı yazılım yüklemek için UEFI ürün yazılımını değiştirmek üzere tasarlanmış bir avuç kötü amaçlı yazılım aracı ortaya çıktı. Bir örnek, ESET ve diğerlerinin, Rusya’nın Sednit grubu tarafından daha geniş bir kötü amaçlı yazılım kampanyasının parçası olarak dağıtıldığını gözlemlediği, son derece kalıcı, üretici yazılımı düzeyinde bir kök kullanıcı takımı olan LoJax’tır. Başka bir örnek, Kaspersky araştırmacılarının yakın zamanda bir siber casusluk kampanyasının parçası olarak kullanıldığını gözlemlediği, üretici yazılımı düzeyinde bir kötü amaçlı yazılım düşürücü olan MoonBounce’dır.
ESET’te kötü amaçlı yazılım analisti Martin Smolár, düzgün bir şekilde devre dışı bırakılmadan yanlışlıkla üretim BIOS’una dahil edilen iki Lenovo sürücüsünün, saldırganlara benzer kötü amaçlı yazılımları savunmasız Lenovo tüketici cihazlarına dağıtmak için bir yol sağladığını söylüyor.
“Bu güvenlik açıklarının istismarı, saldırganların doğrudan devre dışı bırakmasına izin ver kritik sistem güvenliği korumaları” diyor Smolár. Savunmasız bir sisteme ayrıcalıklı erişime sahip saldırganlar, eski bellenim sürücülerini kolayca etkinleştirebilir ve bunları BIOS kontrol kayıt bitleri, korumalı aralık kayıtları ve ayrıcalıklı kullanıcıları engelleyen UEFI Güvenli Önyükleme gibi korumaları kapatmak için kullanabilir. Sonuç olarak, bu güvenlik açıklarından yararlanılması, saldırganların bellenimi flaş etmesine veya değiştirmesine ve kötü amaçlı kod yürütmesine olanak tanır, diyor.
Bu arada, ESET araştırmacılarının keşfettiği üçüncü güvenlik açığı olan CVE-2021-3970, Sistem Yönetim RAM’inden (SM RAM) veya sistem yönetimi ayrıcalıklarıyla kod depolayan bellekten rastgele okuma ve yazma işlemlerine izin verir. ESET, bunun saldırganlara güvenlik açığı bulunan sistemlerde sistem yönetimi ayrıcalıklarıyla kod yürütme fırsatı verdiğini söyledi.
Lenovo, yorum için bir Karanlık Okuma isteğine yanıt vermedi. Bununla birlikte, şirketin danışma belgesi, kusurların orta düzeyde olduğunu ve bunları kullanan saldırganlar için ayrıcalık yükseltmeye olanak tanıdığını belirtti. Şirket, CVE-2021-3970’in bazı Lenovo modellerinde yetersiz doğrulamadan kaynaklandığını söyledi. Lenovo, diğer iki güvenlik açığını, eski üretim süreçlerinde kullanılan sürücüleri devre dışı bırakma ve kaldırma konusundaki başarısızlığına bağladı.
Şirketin danışma belgesi, etkilenen aygıtlara sahip kullanıcıların uygun BIOS güncellemesini nerede bulabilecekleri ve bunu nasıl yüklemeleri gerektiği konusunda yönergeler sağladı.