Ponad 100 modeli laptopów Lenovo ma poważną dziurę bezpieczeństwa
Jesteś dumnym posiadaczem laptopa Lenovo? ThinkPad to twoja główna stacja robocza? Cóż, mamy złą i dobrą wiadomość – firmware producenta okazało się dziurawe i wymaga jak najszybszej aktualizacji
UEFI miało być odpowiedzią na wszelkie bolączki BIOS-a. Nie pierwszy raz okazuje się jednak, że i samo UEFI nie jest wolne od wad, a konkretniej – poważnych luk w bezpieczeństwie. Firma ESET ogłosiła dziś, że UEFI w wielu laptopach dostarczanych na rynek przez Lenovo ma poważne luki bezpieczeństwa.
Dziurawe UEFI w laptopach Lenovo
Na dziurę złożyły się trzy sygnatury CVE: CVE-2021-3970, CVE-2021-3971 oraz CVE-2021-3972. Pierwszą należy traktować jako główną, zaś pozostałe dwie (na razie dwie) to jej wariacje. Pozwalają one wstrzyknąć kod do procesu rozruchu systemu operacyjnego, co skutkuje możliwością zainfekowania maszyny znanym już wcześniej złośliwym oprogramowaniem infekującym bootwanie, np. LoJax and ESPecter.
Mamy do czynienia z luką, która została zgłoszona producentowi jeszcze w październiku minionego roku, stąd dobra wiadomość – Lenovo opublikowało już aktualizacje rozwiązujące problem. Wspomniana zła wiadomość dotyczy natomiast skali zagrożenia. Podatnych jest ponad sto modeli laptopów, co – biorąc pod uwagę popularność Lenovo – naraża na niebezpieczeństwo trudną do przeszacowania liczbę urządzeń.
Luka w „tylnych furtkach bezpieczeństwa”
Na ironię zakrawa natomiast fakt, że mowa podatności w oprogramowaniu, które raz na zawsze miało rozprawić się z bolączkami dziurawego BIOS. Tymczasem chodzi nie tylko o podatność w UEFI – ESET odnalazł bowiem dziury w producenckich backdoorach, które pierwotnie miały służyć do zabezpieczania systemu.
Chodzi o domyślnie wyłączone bramki SecureBackDoor oraz SecureBackDoorPeim. Pierwotnie miały one służyć awaryjnemu wyłączaniu szeregowego interfejsu bezpieczeństwa. Analizując te podatność, ESET odnazł jednak kolejną, trzecią z kolei, podatność, która tym razem może prowadzić do nadpisania pamięci.
W kontekście zadań stawianych przez UEFI i ograniczeń, które nakłada na systemy operacyjne ten interfejs, odnalezione podatności najlepiej opisuje tytuł dostępnego tutaj artykułu opublikowanego przez ESET: „Kiedy bezpieczne w ogóle nie jest bezpieczne”.
Inne newsy ze świata IT:
Rok 2022 już jest. A gdzie są procesory z grafenu?
Polski Ład 2.0: Co zmieni się w podatkach dla branży IT
Sztuczna inteligencja potrafi już debugować swój własny kod
RedwoodJS – nowy framework JavaScript od twórcy GitHuba