Lenovo goof sürücüsü, 25 dizüstü bilgisayar modelinin kullanıcıları için güvenlik riski oluşturuyor

Araştırmacılar Çarşamba günü, iki düzineden fazla Lenovo dizüstü bilgisayar modelinin, UEFI güvenli önyükleme sürecini devre dışı bırakan ve ardından imzasız UEFI uygulamalarını çalıştıran veya cihazı tehlikeye atan bir önyükleyiciyi kalıcı olarak monte eden kötü niyetli saldırılara karşı savunmasız olduğu konusunda uyardı.

Aynı zamanda güvenlik şirketi ESET’ten araştırmacılar da şunları söyledi: Zayıflıkları tespit etmekdizüstü bilgisayar üreticisi Güvenlik güncellemelerini yayınlayın ThinkPads, Yoga Slims ve IdeaPads dahil 25 model. UEFI Secure Boot’u zayıflatan güvenlik açıkları tehlikeli olabilir çünkü saldırganların birden çok işletim sistemi yeniden yüklemesinden kurtulan kötü amaçlı bellenim yüklemelerine izin verir.

Yaygın değil ama nadir

Birleşik Genişletilebilir Ürün Yazılımı Arabirimi’nin kısaltması olan UEFI, bir bilgisayarın ürün yazılımını işletim sistemine bağlayan yazılımdır. Hemen hemen her modern cihazı açtığınızda çalışan ilk kod parçası olarak, güvenlik zincirindeki ilk halkadır. UEFI, anakarttaki bir flash çipte bulunduğundan, enfeksiyonu tespit etmek ve ortadan kaldırmak zordur. Sabit sürücüyü silmek ve işletim sistemini yeniden yüklemek gibi tipik eylemlerin kayda değer bir etkisi yoktur çünkü UEFI enfeksiyonu daha sonra bilgisayara yeniden bulaşacaktır.

ESET, CVE-2022-3430, CVE-2022-3431 ve CVE-2022-3432 olarak izlenen güvenlik açıklarının “UEFI Secure Boot’un devre dışı bırakılmasına veya fabrika varsayılan Güvenli Önyükleme veritabanlarının (dbx dahil) geri yüklenmesine izin verdiğini söyledi: bir işletim sisteminden.” Güvenli Önyükleme, mekanizmalara izin vermek ve reddetmek için veritabanlarını kullanır. Özellikle bir DBX veritabanı, reddedilen anahtarların kriptografik karmalarını depolar. Veritabanlarında varsayılan değerleri devre dışı bırakmak veya geri yüklemek, bir saldırganın normalde geçerli olacak kısıtlamaları kaldırmasına olanak tanır.

Bellenim güvenliği konusunda uzmanlaşmış ve adının açıklanmamasını tercih eden bir araştırmacı, bir röportajda, “Firmware’deki şeyleri işletim sisteminden değiştirmek yaygın değil, oldukça nadirdir” dedi. “Çoğu kişi, bellenimdeki veya BIOS’taki ayarları değiştirmek için, kuruluma girmek ve orada bir şeyler yapmak için önyükleme sırasında DEL düğmesini parçalamak için fiziksel erişiminiz olması gerektiği anlamına gelir. İşletim sisteminden birkaç şey yapabileceğiniz zaman, bu çok önemli bir şey.”

UEFI Güvenli Önyüklemeyi devre dışı bırakmak, saldırganların kötü amaçlı UEFI uygulamalarını yürütmesine izin verir; bu, Güvenli Önyükleme, UEFI uygulamalarını kriptografik olarak imzalamayı gerektirdiğinden genellikle mümkün değildir. Bu arada, fabrika varsayılan DBX’ini geri yüklemek, saldırganların savunmasız bir önyükleyici yüklemesine olanak tanır. Ağustos ayında güvenlik şirketi Eclypsium’dan araştırmacılar Öne çıkan üç sürücü belirledim Saldırganın Windows’ta yönetici veya Linux’ta kök gibi yükseltilmiş ayrıcalıkları olduğunda güvenli önyüklemeyi atlamak için kullanılabilirler.

Güvenlik açıklarından, çeşitli önyükleme seçeneklerini depolayan geçici olmayan RAM olan NVRAM’deki değişkenlerle oynanarak yararlanılabilir. Güvenlik açıklarına, Lenovo’nun dizüstü bilgisayarları yalnızca üretim sürecinde kullanılmak üzere tasarlanmış sürücüleri yanlışlıkla göndermesi neden olur. Zayıf noktalar şunlardır:

• CVE-2022-3430: Bazı tüketici Lenovo Dizüstü Bilgisayarlarındaki WMI Kurulum sürücüsündeki olası bir güvenlik açığı, yükseltilmiş bir saldırganın NVRAM değişkenini değiştirerek Güvenli Önyükleme ayarlarını değiştirmesine izin verebilir.
• CVE-2022-3431: Bazı tüketici Lenovo Dizüstü Bilgisayarlarında üretim işlemi sırasında kullanılan ve yanlışlıkla devre dışı bırakılmayan bir sürücüdeki olası bir güvenlik açığı, yükseltilmiş ayrıcalıklı bir saldırganın NVRAM değişkenini değiştirerek Güvenli Önyükleme ayarını değiştirmesine izin verebilir.
• CVE-2022-3432: Ideapad Y700-14ISK üzerinde üretim işlemi sırasında kullanılan ve yanlışlıkla devre dışı bırakılmayan bir sürücüdeki olası bir güvenlik açığı, yükseltilmiş ayrıcalıklı bir saldırganın NVRAM değişkenini ayarlayarak Güvenli Önyükleme ayarını değiştirmesine izin verebilir.

Lenovo yalnızca ilk ikisini düzeltir. CVE-2022-3432, şirket, etkilenen ömrünü tamamlamış dizüstü bilgisayar modeli Ideapad Y700-14ISK’yi artık desteklemediği için yama uygulanmayacak. Diğer savunmasız modellerden herhangi birini kullanan kişiler, yamaları mümkün olan en kısa sürede yüklemelidir.

Tartışmaya git…