ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ของ ESET ได้ค้นพบข้อบกพร่องด้านความปลอดภัยสามประการในแล็ปท็อป Lenovo รุ่นต่างๆ หลายร้อยรุ่น ซึ่งอาจทำให้ผู้ใช้หลายล้านคนตกอยู่ในความเสี่ยง
ESET กล่าวว่าการใช้ช่องโหว่เหล่านี้จะทำให้ผู้โจมตีสามารถติดตั้งและรันมัลแวร์ UEFI ได้สำเร็จในรูปแบบของการฝังแฟลช SPI เช่น LoJax หรือการปลูกถ่าย ESP เช่น ESPecter
มีการค้นพบช่องโหว่ทั้งหมด 2021 รายการ ซึ่งขณะนี้ถูกติดตามในชื่อ CVE-3970-2021, CVE-3971-3972 (หรือที่เรียกว่า SecureBackDoor และ SecureBackDoorPreim) และ CVE-XNUMX (ความเสียหายของหน่วยความจำ SMM ในบทบาทผู้จัดการ SW SMI)
เลี่ยงมาตรการรักษาความปลอดภัย
สองตัวแรกสามารถเปิดใช้งานเพื่อปิดใช้งานการป้องกันแฟลช SPI (บิตการลงทะเบียนการควบคุม BIOS และการลงทะเบียนช่วงการป้องกัน) หรือ UEFI Secure Boot จากกระบวนการโหมดผู้ใช้ที่มีสิทธิพิเศษในขณะที่ระบบกำลังทำงาน ประการที่สาม ESET อธิบาย สามารถอนุญาตให้ผู้โจมตีรันโค้ดที่เป็นอันตรายด้วยสิทธิ์ SMM ซึ่งอาจนำไปสู่การปรับใช้แฟลช SPI Implant
ตามที่นักวิจัยของ ESET Martin Smolár ได้กล่าวไว้ สิ่งที่ทำให้พวกเขาเป็นอันตรายอย่างยิ่งคือการที่พวกเขายอมให้มีการใช้ประโยชน์จากภัยคุกคาม UEFI ที่ดำเนินการตั้งแต่เนิ่นๆ ในกระบวนการบูต ก่อนที่จะโอนการควบคุมไปยังระบบปฏิบัติการ
ซึ่งหมายความว่าพวกเขาสามารถข้าม "มาตรการรักษาความปลอดภัยและการบรรเทาผลกระทบเกือบทั้งหมดในสแต็กที่สูงกว่าซึ่งอาจป้องกันไม่ให้เพย์โหลดระบบปฏิบัติการของคุณทำงาน" เขากล่าว
นี่ไม่ใช่ภัยคุกคาม UEFI แรกที่ค้นพบ อย่างไรก็ตาม พวกเขาทั้งหมด (รวมถึง LoJax, MosaicRegressor, MoonBounce, ESPecter หรือ FinSpy) จะต้องข้ามหรือปิดใช้งานกลไกความปลอดภัยของอุปกรณ์เพื่อให้ทำงานได้
บริการบูต UEFI และรันไทม์มีความสำคัญต่อการทำงานของปลายทางใดๆ เนื่องจากไดรเวอร์และแอปพลิเคชันต้องการให้ทำงานได้อย่างถูกต้อง
นักวิจัยของ ESET "อย่างยิ่ง" แนะนำให้เจ้าของแล็ปท็อป Lenovo ทุกคนตรวจสอบรายการอุปกรณ์ที่ได้รับผลกระทบที่พบที่นี่ และอัปเดตเฟิร์มแวร์ตามคำแนะนำของผู้ผลิต
เจ้าของอุปกรณ์ที่มีอุปกรณ์หมดอายุการใช้งานสามารถใช้โซลูชันการเข้ารหัสดิสก์เต็มรูปแบบที่สอดคล้องกับ TPM ซึ่งสามารถแสดงผลข้อมูลบนดิสก์ที่ไม่สามารถเข้าถึงได้โดยเปลี่ยนการตั้งค่า UEFI Secure Boot ESET สรุป