Imagens Getty
Pesquisadores alertaram na quarta-feira que mais de duas dúzias de modelos de laptops Lenovo são vulneráveis a hacks maliciosos que desativam o processo de inicialização segura UEFI e, em seguida, executam aplicativos UEFI não assinados ou montam permanentemente um carregador de inicialização que compromete o dispositivo.
Ao mesmo tempo, pesquisadores da empresa de segurança ESET. Detectando fraquezasfabricante de laptop Liberar atualizações de segurança 25 modelos, incluindo ThinkPads, Yoga Slims e IdeaPads. Vulnerabilidades que prejudicam o UEFI Secure Boot podem ser perigosas porque permitem que invasores instalem firmware malicioso que sobrevive a várias reinstalações do SO.
Não é comum, mas raro
Abreviação de Unified Extensible Firmware Interface, UEFI é o software que conecta o firmware de um computador ao seu sistema operacional. Como o primeiro pedaço de código que é executado quando você liga quase qualquer dispositivo moderno, é o primeiro elo na cadeia de segurança. Como o UEFI está localizado em um chip flash na placa-mãe, é difícil detectar e remover a infecção. Ações típicas, como limpar o disco rígido e reinstalar o sistema operacional, não têm efeito apreciável, pois a infecção UEFI infectará novamente o computador.
A ESET disse que as vulnerabilidades – rastreadas como CVE-2022-3430, CVE-2022-3431 e CVE-2022-3432 – “permitem que o UEFI Secure Boot seja desabilitado ou restaure os bancos de dados Secure Boot padrão de fábrica (incluindo dbx): Tudo simplesmente de um sistema operacional.” O Secure Boot usa bancos de dados para permitir e negar mecanismos. Um banco de dados DBX, em particular, armazena hashes criptográficos de chaves rejeitadas. Desabilitar ou restaurar valores padrão em bancos de dados permite que um invasor remova restrições que normalmente estariam em vigor.
“Mudar coisas no firmware do sistema operacional não é comum, mas bastante raro”, disse um pesquisador especializado em segurança de firmware, que preferiu não ser identificado, em entrevista. “A maioria das pessoas quer dizer que para alterar as configurações no firmware ou no BIOS, você precisa ter acesso físico para apertar o botão DEL na inicialização para entrar na configuração e fazer as coisas lá. Quando você pode fazer algumas coisas no sistema operacional, esse é o grande negócio.”
Desabilitar o UEFI Secure Boot libera os invasores para executar aplicativos UEFI maliciosos, o que geralmente não é possível porque o Secure Boot requer aplicativos UEFI de assinatura criptográfica. Enquanto isso, restaurar o DBX padrão de fábrica permite que os invasores carreguem um carregador de inicialização vulnerável. Em agosto, pesquisadores da empresa de segurança Eclypsium Identifiquei três drivers proeminentes Eles podem ser usados para ignorar a inicialização segura quando o invasor tiver privilégios elevados, ou seja, administrador no Windows ou root no Linux.
As vulnerabilidades podem ser exploradas adulterando variáveis na NVRAM, a RAM não volátil que armazena várias opções de inicialização. As vulnerabilidades são causadas pelo envio acidental de laptops da Lenovo com drivers projetados apenas para uso durante o processo de fabricação. Os pontos fracos são:
- CVE-2022-3430: Uma possível vulnerabilidade no driver de configuração WMI em alguns notebooks Lenovo de consumo pode permitir que um invasor elevado modifique as configurações de inicialização segura alterando a variável NVRAM.
- CVE-2022-3431: Uma vulnerabilidade potencial em um driver usado durante o processo de fabricação em alguns notebooks Lenovo de consumidor que não foi desativado acidentalmente pode permitir que um invasor com privilégios elevados modifique a configuração de inicialização segura alterando a variável NVRAM.
- CVE-2022-3432: Uma vulnerabilidade potencial em um driver usado durante o processo de fabricação no Ideapad Y700-14ISK que não foi desativado acidentalmente pode permitir que um invasor com privilégios elevados modifique a configuração de inicialização segura definindo a variável NVRAM.
A Lenovo corrige apenas os dois primeiros. O CVE-2022-3432 não será corrigido porque a empresa não suporta mais o Ideapad Y700-14ISK, o modelo de laptop em fim de vida que foi afetado. As pessoas que usam qualquer um dos outros modelos vulneráveis devem instalar os patches o mais rápido possível.
“Entrepreneur. Professional music nerd. Beer evangelist. Avid tv aficionado. Social mediaholic.”