Οι χρήστες των φορητών υπολογιστών Lenovo θα πρέπει να προσέξουν ιδιαίτερα. Η εταιρεία ασφαλείας ESET μόλις ανακοίνωσε ότι ανακάλυψε τρεις ευπάθειες (CVE-2021-3971, CVE-2021-3972, CVE-2021-3970) στο UEFI των φορητών υπολογιστών Lenovo.
Τα κενά ασφαλείας έχουν χαρακτηριστεί ως εξαιρετικά κρίσιμα. Τα exploit επιτρέπουν στους εισβολείς να αναπτύξουν και να εκτελέσουν κακόβουλο λογισμικό στο UEFI, όπως το LoJax ή το ESPecter στις όλες τις επηρεαζόμενες συσκευές.
Η ESET δημοσίευσε όλες τις απαραίτητες στο blog της. Τα κενά ασφαλείας επηρεάζουν διάφορα μοντέλα φορητών υπολογιστών της Lenovo.
CVE-2021-3971, CVE-2021-3972
Τα δύο πρώτα από αυτά τα κενά ασφαλείας – CVE-2021-3971, CVE-2021-3972 – επηρεάζουν τα UEFI firmware drivers.
Τα επηρεαζόμενα UEFI firmware drivers μπορούν να ενεργοποιηθούν από τους εισβολείς για να απενεργοποιήσουν τις δυνατότητες προστασίας SPI flash (BIOS control register bits and protected-range registers) ή τη δυνατότητα ασφαλούς εκκίνησης UEFI από μια διαδικασία προνομιακής λειτουργίας χρήστη κατά τη διάρκεια του χρόνου εκτέλεσης του λειτουργικού συστήματος.
Το exploit αυτών των ευπαθειών επιτρέπει στους εισβολείς να αναπτύξουν και να εκτελέσουν με επιτυχία το SPI flash ή ESP implants όπως το LoJax ή το UEFI ESPecter στις συσκευές που επηρεάζονται.
CVE-2021-3970
Κατά τη διερεύνηση των παραπάνω κενών ασφαλείας, ανακαλύφθηκε και η τρίτη ευπάθεια. Μπορεί να προκαλέσει καταστροφή της SMM memory στη λειτουργία SW SMI handler (CVE-2021-3970). Η ευπάθεια επιτρέπει αυθαίρετες εγγραφές προς και από την SMRAM, που θα μπορούσαν να οδηγήσουν στην εκτέλεση κακόβουλου κώδικα με προνόμια SMM και πιθανώς στη χρήση κάποιου SPI flash implant.
Όλες οι ευπάθειες που ανακαλύφθηκαν αναφέρθηκαν στη Lenovo στις 11 Οκτωβρίου του 2021. Η Lenovo επιβεβαίωσε τις ευπάθειες στις 17 Νοεμβρίου του 2021 και καταχώρησε τα CVE.
Η λίστα των συσκευών που επηρεάζονται περιλαμβάνει περισσότερα από εκατό διαφορετικά μοντέλα φορητών υπολογιστών με εκατομμύρια χρήστες παγκοσμίως, από τα προσιτά μοντέλα όπως το Ideapad-3 έως τα πιο προηγμένα μοντέλα όπως το Legion 5 Pro-16ACH6 ή το Yoga Slim 9- 14ITL05.
Η πλήρης λίστα των επηρεαζόμενων μοντέλων δημοσιεύτηκε στο Lenovo Advisory. Τα συστήματα της Lenovo που έχουν κατασκευαστεί από τις 25 Φεβρουαρίου 2022 και μετά, δεν επηρεάζονται.