ESET’in siber güvenlik uzmanları, yüzlerce farklı Lenovo dizüstü bilgisayar modelinde milyonlarca kullanıcıyı riske atabilecek üç güvenlik açığı buldu.
ESET, bu güvenlik açıklarından yararlanmanın, saldırganların UEFI kötü amaçlı yazılımlarını LoJax gibi SPI flaş implantları veya ESPecter gibi ESP implantları biçiminde dağıtmasına ve başarılı bir şekilde yürütmesine izin vereceğini söyledi.
Toplamda, şu anda CVE-2021-3970, CVE-2021-3971 (SecureBackDoor ve SecureBackDoorPreim olarak da bilinir) ve CVE-3972 (SW SMI işleyici işlevi içinde SMM bellek bozulması) olarak izlenen üç güvenlik açığı keşfedildi.
Güvenlik önlemlerini atlamak
İlk ikisi, işletim sistemi çalışma zamanı sırasında ayrıcalıklı bir kullanıcı modu işleminden SPI flaş korumalarını (BIOS Kontrol Kaydı bitleri ve Koruma Aralığı kayıtları) veya UEFI Güvenli Önyükleme özelliğini devre dışı bırakmak için etkinleştirilebilir. Üçüncüsü, ESET’in açıkladığı gibi, bir saldırganın SMM ayrıcalıklarıyla kötü niyetli kod yürütmesine izin vererek potansiyel olarak bir SPI flaş implantının yerleştirilmesine yol açabilir.
ESET araştırmacısı Martin Smolár, onları son derece tehlikeli yapan şeyin, kontrolü işletim sistemine aktarmadan önce, önyükleme sürecinin başlarında yürütülen UEFI tehditlerinden yararlanılmasına izin vermeleri olduğunu söylüyor.
Bu, “işletim sistemi yüklerinin yürütülmesini engelleyebilecek yığında daha yüksek olan neredeyse tüm güvenlik önlemlerini ve azaltmaları” atlayabilecekleri anlamına geliyor.
Bu, keşfedilen ilk UEFI tehdidi değil. Ancak hepsinin (LoJax, MosaicRegressor, MoonBounce, ESPecter veya FinSpy dahil) çalışması için cihazın güvenlik mekanizmalarını atlamaları veya devre dışı bırakmaları gerekir.
UEFI önyükleme ve çalışma zamanı hizmetleri, sürücülerin ve uygulamaların düzgün şekilde çalışması gerektiğinden, herhangi bir uç noktanın çalışması için gereklidir.
ESET araştırmacıları, tüm Lenovo dizüstü bilgisayar sahiplerine bulunan etkilenen cihazların listesini gözden geçirmelerini “güçlü bir şekilde” tavsiye ediyor. buradave üreticinin talimatlarına göre bellenimi güncelleyin.
ESET, cihazlarının kullanım ömrünün sonuna ulaşan sahiplerin, UEFI Güvenli Önyükleme yapılandırmasının değişmesi durumunda disk verilerini erişilemez hale getirebilen TPM’ye duyarlı tam disk şifreleme çözümünü kullanabileceği sonucuna vardı.