Erro de driver da Lenovo representa risco de segurança para usuários de 25 modelos de laptop

Imagens Getty

Mais de duas dúzias de modelos de laptops Lenovo são vulneráveis ​​a hacks maliciosos que desativam o processo UEFI Secure Boot e, em seguida, executam aplicativos UEFI não assinados ou carregam carregadores de inicialização que sequestram permanentemente um dispositivo, alertaram pesquisadores na quarta-feira.

Ao mesmo tempo que pesquisadores da empresa de segurança ESET vulnerabilidades reveladaso fabricante de cadernos atualizações de segurança lançadas para 25 modelos, incluindo ThinkPads, Yoga Slims e IdeaPads. Vulnerabilidades que comprometem o UEFI Secure Boot podem ser graves porque permitem que invasores instalem firmware malicioso que sobrevive a várias reinstalações do SO.

Não é comum, mesmo raro

Abreviação de Unified Extensible Firmware Interface, UEFI é o software que vincula o firmware do dispositivo de um computador ao seu sistema operacional. Como o primeiro pedaço de código a ser executado quando praticamente qualquer máquina moderna é ligada, é o primeiro elo na cadeia de segurança. Como o UEFI reside em um chip flash na placa-mãe, as infecções são difíceis de detectar e remover. Medidas típicas, como limpar o disco rígido e reinstalar o sistema operacional, não têm impacto significativo, pois a infecção UEFI simplesmente reinfectará o computador posteriormente.

A ESET disse que as vulnerabilidades – rastreadas como CVE-2022-3430, CVE-2022-3431 e CVE-2022-3432 – “permitem que o UEFI Secure Boot seja desativado ou restaure os bancos de dados Secure Boot padrão (incluindo dbx): simplesmente a partir de um sistema operacional. ” O Secure Boot usa bancos de dados para permitir e negar mecanismos. O banco de dados DBX, em particular, armazena hashes criptográficos de chaves negadas. Desabilitar ou restaurar valores padrão nos bancos de dados permite que um invasor remova as restrições que normalmente estariam em vigor.

“Mudar as coisas no firmware do sistema operacional não é comum, se não raro”, disse um pesquisador de segurança de firmware, que preferiu não ser identificado, em entrevista. “A maioria das pessoas quer dizer que, para alterar as configurações do firmware ou do BIOS, você precisa ter acesso físico para esmagar o botão LED na inicialização para entrar na configuração e fazer as coisas lá. Quando você pode fazer algumas coisas no sistema operacional, isso é um grande problema.

Desabilitar o UEFI Secure Boot permite que os invasores executem aplicativos UEFI maliciosos, o que normalmente não é possível porque o Secure Boot exige que os aplicativos UEFI sejam assinados criptograficamente. A restauração do DBX padrão, enquanto isso, permite que os invasores carreguem carregadores de inicialização vulneráveis. Em agosto, pesquisadores da empresa de segurança Eclypsium identificou três drivers de software importantes que pode ser usado para ignorar o Secure Boot quando um invasor tiver privilégios elevados, ou seja, administrador no Windows ou root no Linux.

As vulnerabilidades podem ser exploradas alterando variáveis ​​na NVRAM, a RAM não volátil que armazena várias opções de inicialização. As vulnerabilidades resultam do envio por engano de laptops da Lenovo com drivers destinados ao uso apenas durante o processo de fabricação. As vulnerabilidades são:

  • CVE-2022-3430: Uma vulnerabilidade potencial no driver de configuração WMI em determinados laptops Lenovo pode permitir que um invasor com privilégios elevados modifique as configurações de inicialização segura modificando uma variável NVRAM.
  • CVE-2022-3431: Potencial vulnerabilidade em um driver usado durante o processo de fabricação em determinados laptops Lenovo de consumidor que não foi desabilitado por engano pode permitir que um invasor elevado modifique a configuração de inicialização segura modificando uma variável NVRAM.
  • CVE-2022-3432: Potencial vulnerabilidade em um driver usado durante o processo de fabricação no Ideapad Y700-14ISK que não foi desabilitado por engano pode permitir que um invasor elevado modifique a configuração de inicialização segura ajustando uma variável NVRAM.

A Lenovo apenas corrige os dois primeiros. O CVE-2022-3432 não será corrigido porque a empresa não oferece mais suporte ao Ideapad Y700-14ISK, o modelo de laptop em fim de vida afetado. As pessoas que usam qualquer um dos outros modelos vulneráveis ​​devem instalar os patches o mais rápido possível.

Vá conversar…