PC üreticisi Lenovo, Birleşik Genişletilebilir Ürün Yazılımı Arabirimi (UEFI) belleniminde birkaç Yoga, IdeaPad ve ThinkBook cihazını etkileyen üç eksikliğe daha değindi.
Slovak siber güvenlik firması ESET, “Güvenlik açıkları, UEFI Güvenli Önyüklemeyi devre dışı bırakmaya veya fabrika varsayılanı Güvenli Önyükleme veritabanlarını (dbx dahil) geri yüklemeye izin veriyor: tümü yalnızca bir işletim sisteminden” açıkladı bir dizi tweette.
UEFI, işletim sistemi ile cihazın donanımına gömülü ürün yazılımı arasında bir arayüz görevi gören yazılımı ifade eder. UEFI, bir cihaz açıldığında işletim sistemini başlatmaktan sorumlu olduğundan, bu teknolojiyi, tespit edilmesi ve kaldırılması zor kötü amaçlı yazılımları bırakmak isteyen tehdit aktörleri için çekici bir seçenek haline getirdi.
Bu açıdan bakıldığında, CVE-2022-3430, CVE-2022-3431 ve CVE-2022-3432 olarak izlenen kusurlar, kötü niyetli programları önlemek için tasarlanmış bir güvenlik mekanizması olan Güvenli Önyüklemeyi kapatmak için bir düşman tarafından kötüye kullanılabilir. önyükleme işlemi sırasında yüklemeden.
Lenovo’nun danışma belgesi, güvenlik açıklarını şu şekilde açıklar:
- CVE-2022-3430: Bazı tüketici Lenovo Dizüstü Bilgisayar aygıtlarındaki WMI Kurulum sürücüsündeki olası bir güvenlik açığı, yükseltilmiş ayrıcalıklara sahip bir saldırganın bir NVRAM değişkenini değiştirerek Güvenli Önyükleme ayarını değiştirmesine izin verebilir.
- CVE-2022-3431: Bazı tüketici Lenovo Dizüstü Bilgisayar aygıtlarında üretim işlemi sırasında kullanılan ve yanlışlıkla devre dışı bırakılmayan bir sürücüdeki olası bir güvenlik açığı, yükseltilmiş ayrıcalıklara sahip bir saldırganın bir NVRAM değişkenini değiştirerek Güvenli Önyükleme ayarını değiştirmesine izin verebilir.
- CVE-2022-3432: IdeaPad Y700-14ISK üzerinde üretim işlemi sırasında kullanılan ve yanlışlıkla devre dışı bırakılmayan bir sürücüdeki olası bir güvenlik açığı, yükseltilmiş ayrıcalıklara sahip bir saldırganın bir NVRAM değişkenini değiştirerek Güvenli Önyükleme ayarını değiştirmesine izin verebilir.
Başka bir deyişle, UEFI Güvenli Önyüklemeyi devre dışı bırakmak, tehdit aktörlerinin hileli önyükleyicileri yürütmesini mümkün kılar ve saldırganlara güvenliği ihlal edilmiş ana bilgisayarlara erişim ayrıcalıkları verir.
ESET, güvenlik açıklarının kaynak kodundaki gecikmeler olmadığını, bunun yerine “sürücülerin yalnızca üretim sürecinde kullanılması gerektiği, ancak yanlışlıkla üretime dahil edildiği” için ortaya çıktığını söyledi.
En son güncelleme, Lenovo’nun, tümü ESET araştırmacısı Martin Smolár tarafından keşfedilen ve rapor edilen UEFI bellenimindeki kusurları düzeltmek için üçüncü kez hareket ettiğini gösteriyor.
İlk sorun grubu (CVE-2021-3970, CVE-2021-3971 ve CVE-2021-3972) kötü niyetli kişilerin etkilenen cihazlara bellenim implantları yerleştirmesine ve yürütmesine izin vermiş olsa da, ikinci grup (CVE-2022- 1890, CVE-2022-1891 ve CVE-2022-1892), rastgele kod yürütme ve güvenlik özelliklerini devre dışı bırakmak için silah olarak kullanılabilir.
Lenovo, söz konusu modelin kullanım ömrünün sonuna (EoL) ulaşmış olması nedeniyle CVE-2022-3432 için düzeltmeler yayınlamayı düşünmediğini söyledi. Etkilenen diğer cihazların kullanıcılarının donanım yazılımlarını en son sürüme güncellemeleri önerilir.