Mehr als zwei Dutzend Lenovo-Laptop-Modelle sind anfällig für böswillige Hacks, die den UEFI Secure Boot-Prozess deaktivieren und dann unsignierte UEFI-Anwendungen ausführen oder Bootloader laden, die ein Gerät dauerhaft entführen, warnten Forscher am Mittwoch.
Zur gleichen Zeit, dass Forscher der Sicherheitsfirma ESET aufgedeckte Schwachstellender Notizbuchhersteller veröffentlichte Sicherheitsupdates für 25 Modelle, darunter ThinkPads, Yoga Slims und IdeaPads. Schwachstellen, die UEFI Secure Boot gefährden, können schwerwiegend sein, da sie es Angreifern ermöglichen, bösartige Firmware zu installieren, die mehrere Neuinstallationen des Betriebssystems überlebt.
Nicht üblich, sogar selten
UEFI, kurz für Unified Extensible Firmware Interface, ist die Software, die die Gerätefirmware eines Computers mit seinem Betriebssystem verbindet. Als erstes Stück Code, das ausgeführt wird, wenn praktisch jede moderne Maschine eingeschaltet wird, ist es das erste Glied in der Sicherheitskette. Da sich UEFI in einem Flash-Chip auf dem Motherboard befindet, sind Infektionen schwer zu erkennen und zu entfernen. Typische Maßnahmen wie das Löschen der Festplatte und die Neuinstallation des Betriebssystems haben keine nennenswerten Auswirkungen, da die UEFI-Infektion den Computer anschließend einfach erneut infiziert.
ESET sagte, die Schwachstellen – verfolgt als CVE-2022-3430, CVE-2022-3431 und CVE-2022-3432 – „ermöglichen es, UEFI Secure Boot zu deaktivieren oder standardmäßige Secure Boot-Datenbanken (einschließlich dbx) wiederherzustellen: einfach von einem Betriebssystem. ” Secure Boot verwendet Datenbanken, um Mechanismen zuzulassen und abzulehnen. Insbesondere die DBX-Datenbank speichert kryptografische Hashes von verweigerten Schlüsseln. Durch das Deaktivieren oder Wiederherstellen von Standardwerten in den Datenbanken kann ein Angreifer die normalerweise vorhandenen Einschränkungen entfernen.
„Änderungen in der Betriebssystem-Firmware sind nicht üblich, wenn nicht sogar selten“, sagte ein Firmware-Sicherheitsforscher, der lieber nicht genannt werden möchte, in einem Interview. „Die meisten Leute meinen, dass Sie zum Ändern der Firmware- oder BIOS-Einstellungen physischen Zugriff haben müssen, um die LED-Taste beim Booten zu drücken, um in das Setup zu gelangen und dort Dinge zu tun. Wenn Sie einige der Dinge vom Betriebssystem aus tun können, ist dies a großes Problem.
Durch Deaktivieren von UEFI Secure Boot können Angreifer schädliche UEFI-Anwendungen ausführen, was normalerweise nicht möglich ist, da Secure Boot erfordert, dass UEFI-Anwendungen kryptografisch signiert sind. Die Wiederherstellung des Standard-DBX ermöglicht es Angreifern, anfällige Bootloader zu laden. Im August Forscher der Sicherheitsfirma Eclypsium drei wichtige Softwaretreiber identifiziert Dies könnte verwendet werden, um Secure Boot zu umgehen, wenn ein Angreifer erhöhte Rechte hat, z. B. Administrator unter Windows oder Root unter Linux.
Die Schwachstellen können ausgenutzt werden, indem Variablen im NVRAM geändert werden, dem nichtflüchtigen RAM, der verschiedene Boot-Optionen speichert. Die Schwachstellen resultieren daraus, dass Lenovo Laptops irrtümlicherweise mit Treibern ausliefert, die nur für die Verwendung während des Herstellungsprozesses vorgesehen sind. Die Schwachstellen sind:
- CVE-2022-3430: Eine potenzielle Schwachstelle im WMI-Konfigurationstreiber auf bestimmten Consumer-Laptops von Lenovo kann es einem Angreifer mit erhöhten Rechten ermöglichen, die Einstellungen für den sicheren Start zu ändern, indem er eine NVRAM-Variable ändert.
- CVE-2022-3431: Eine potenzielle Schwachstelle in einem Treiber, der während des Herstellungsprozesses auf bestimmten Lenovo-Laptops für Endverbraucher verwendet wird und nicht versehentlich deaktiviert wurde, könnte es einem erhöhten Angreifer ermöglichen, die Einstellung für den sicheren Start zu ändern, indem er eine NVRAM-Variable ändert.
- CVE-2022-3432: Eine potenzielle Schwachstelle in einem Treiber, der während des Herstellungsprozesses auf dem Ideapad Y700-14ISK verwendet wurde und nicht versehentlich deaktiviert wurde, könnte es einem erhöhten Angreifer ermöglichen, die sichere Starteinstellung durch Anpassen einer NVRAM-Variable zu ändern.
Lenovo patcht nur die ersten beiden. CVE-2022-3432 wird nicht behoben, da das Unternehmen das Ideapad Y700-14ISK, das betroffene End-of-Life-Laptop-Modell, nicht mehr unterstützt. Personen, die eines der anderen anfälligen Modelle verwenden, sollten die Patches so schnell wie möglich installieren.
You may also like
-
5 Dinge über KI, die Sie heute vielleicht übersehen haben: Nachrichtenverlage werden KI-Unternehmen verklagen; Die Polizei setzt auf KI und mehr
-
Optimiere deine Online-Präsenz mit professioneller SEO-Beratung
-
Allwyn gibt erste Partnerschaft mit der prestigeträchtigen Peace Race Cycling Tour bekannt
-
dynaCERT gibt weltweite Verkäufe für Q4 2022 bekannt
-
Die Final Fantasy Pixel Remaster-Serie kommt für PS4, Switch Frühjahr 2023