Os hackers podem infectar mais de 100 modelos Lenovo com malware irremovível. Você está corrigido?

A Lenovo lançou atualizações de segurança para mais de 100 modelos de laptops para corrigir vulnerabilidades críticas que possibilitam que hackers avançados instalem clandestinamente firmwares maliciosos que, em alguns casos, podem ser impossíveis de remover ou detectar.

Três vulnerabilidades que afetam mais de um milhão de laptops podem dar aos hackers a capacidade de modificar o UEFI do computador. abreviatura de Interface de software estendida unificadaUEFI é o software que conecta o firmware de um computador ao seu sistema operacional. Como o primeiro software que é executado quando você liga praticamente qualquer dispositivo moderno, é o elo inicial na cadeia de segurança. Como o UEFI está embutido em um chip flash na placa-mãe, a infecção é difícil de detectar e até mesmo difícil de remover.

Oh não

Duas vulnerabilidades – rastreadas como CVE-2021-3971 e CVE-2021-3972 – existem em drivers de firmware UEFI que se destinam ao uso apenas durante o processo de fabricação de laptops de consumidor Lenovo. Os engenheiros da Lenovo incluíram inadvertidamente drivers nas imagens de produção do BIOS sem desativá-lo adequadamente. Os hackers podem explorar drivers com bugs para desabilitar proteções, incluindo UEFI Secure Boot, bits de registro de controle do BIOS e o registro Protected Range, que são armazenados em interface de terminal serial (SPI) e projetado para evitar alterações não autorizadas no firmware em execução.

Depois de descobrir e analisar as vulnerabilidades, pesquisadores da empresa de segurança ESET encontraram uma terceira vulnerabilidade, CVE-2021-3970. Ele permite que hackers executem firmware malicioso quando o dispositivo é colocado no modo de administração do sistema, um modo operacional altamente privilegiado normalmente usado por fabricantes de hardware para gerenciamento de sistema de baixo nível.

Trammell Hudson, pesquisador de segurança especializado em hacking de firmware, disse à Ars: “Com base na descrição, todos esses são bons tipos de ataques para invasores avançados o suficiente”. “Ignorar as permissões do flash SPI é uma coisa muito ruim.”

Ele disse que o risco pode ser reduzido por proteções como o BootGuard, que é projetado para impedir que pessoas não autorizadas executem firmware malicioso durante o processo de inicialização. Por outro lado, os pesquisadores descobriram no passado vulnerabilidades críticas que comprometem o BootGuard. eles incluem defeitos triplos Foi descoberto por Hudson em 2020 que impedia que a proteção funcionasse quando o computador saía do modo de suspensão.

Rastejar para o mainstream

Embora ainda raros, os chamados implantes SPI estão se tornando cada vez mais comuns. Uma das maiores ameaças da Internet – um malware conhecido como Trickbot – começou em 2020 incorporando um driver em sua base de código que permite que as pessoas Grave firmware em quase qualquer dispositivo. Os únicos outros dois casos documentados de firmware UEFI malicioso usado na natureza são LOJAXque foi escrito por um grupo de hackers do governo russo conhecido por vários nomes, incluindo Sednit, Fancy Bear ou APT 28. O segundo caso foi o malware UEFI usado pela empresa de segurança Descubra Kaspersky nos computadores de personalidades diplomáticas na Ásia.

As três vulnerabilidades da Lenovo descobertas pela ESET exigem acesso local, o que significa que o invasor já deve ter o controle do dispositivo vulnerável com privilégios irrestritos. A barreira para esse tipo de acesso é alta e provavelmente exigiria a exploração de uma ou mais outras vulnerabilidades críticas em outros lugares que já colocariam o usuário em grande risco.

No entanto, as vulnerabilidades são perigosas porque podem infectar laptops vulneráveis ​​com malware que excede em muito o que normalmente é possível com o malware tradicional. A Lenovo tem uma lista aqui De mais de 100 modelos afetados.