Περισσότερα από 25 μοντέλα φορητών υπολογιστών της Lenovo είναι ευάλωτα σε κακόβουλες επιθέσεις που απενεργοποιούν τη διαδικασία ασφαλούς εκκίνησης UEFI και στη συνέχεια τρέχουν ανυπόγραφες εφαρμογές UEFI ή φορτώνουν bootloaders για μόνιμα backdoors σε συσκευές.
Την ίδια στιγμή που ερευνητές από την εταιρεία ασφαλείας ESET αποκάλυψαν τα τρωτά σημεία, ο κατασκευαστής φορητών υπολογιστών κυκλοφόρησε ενημερώσεις ασφαλείας για 25 μοντέλα, όπως τα ThinkPads, Yoga Slims και IdeaPads. Τα κενά ασφαλείας που υπονομεύουν την ασφαλή εκκίνηση του UEFI είναι σοβαρά επειδή επιτρέπουν στους εισβολείς να εγκαταστήσουν κακόβουλο firmware που επιβιώνει από formats λειτουργικών συστημάτων.
To Unified Extensible Firmware Interface, ή UEFI είναι το λογισμικό που γεφυρώνει το firmware ενός υπολογιστή με το λειτουργικό του σύστημα. Ως το πρώτο κομμάτι κώδικα που τρέχει όταν ξεκινάει ένας υπολογιστής, είναι ο πρώτος κρίκος στην αλυσίδα ασφαλείας. Επειδή το UEFI βρίσκεται σε ένα flash chip στο motherboard, οι μολύνσεις είναι πολύ δύσκολο να εντοπιστούν και να αφαιρεθούν.
Τυπικά μέτρα όπως ένα format του σκληρού δίσκου και η επανεγκατάσταση του λειτουργικού συστήματος δεν βοηθούν, επειδή το μολυσμένο UEFI θα μολύνει ξανά τον υπολογιστή όταν ξεκινήσει.
Η ESET είπε ότι τα κενά ασφαλείας CVE-2022-3430, CVE-2022-3431 και CVE-2022-3432, επιτρέπουν την απενεργοποίηση της ασφαλούς εκκίνησης UEFI ή την επαναφορά των εργοστασιακών προεπιλεγμένων ρυθμίσεων της βάσης δεδομένων της ασφαλούς εκκίνησης (και το dbx). Η ασφαλής εκκίνηση χρησιμοποιεί βάσεις δεδομένων για να επιτρέψει και να απορρίπτει μηχανισμούς. Η βάση δεδομένων DBX, ειδικότερα, αποθηκεύει κρυπτογραφημένα hashes των denied keys.
Η απενεργοποίηση ή η επαναφορά των προεπιλεγμένων τιμών στις βάσεις δεδομένων δίνει τη δυνατότητα σε έναν εισβολέα να διαγράψει περιορισμούς που κανονικά θα ίσχυαν.
