Der Goof-Treiber von Lenovo stellt ein Sicherheitsrisiko für Benutzer von 25 Laptop-Modellen dar
Forscher warnten am Mittwoch, dass mehr als zwei Dutzend Lenovo-Laptop-Modelle anfällig für böswillige Hacks sind, die den sicheren UEFI-Boot-Prozess deaktivieren und dann unsignierte UEFI-Anwendungen ausführen oder dauerhaft einen Bootloader mounten, der das Gerät kompromittiert.
Gleichzeitig sagten Forscher des Sicherheitsunternehmens ESET Schwachstellen erkennenLaptop Hersteller Sicherheitsupdates veröffentlichen 25 Modelle, darunter ThinkPads, Yoga Slims und IdeaPads. Schwachstellen, die UEFI Secure Boot untergraben, können gefährlich sein, da sie es Angreifern ermöglichen, bösartige Firmware zu installieren, die mehrere Neuinstallationen des Betriebssystems überlebt.
Nicht üblich, aber selten
UEFI, kurz für Unified Extensible Firmware Interface, ist die Software, die die Firmware eines Computers mit seinem Betriebssystem verbindet. Als erstes Stück Code, das ausgeführt wird, wenn Sie fast jedes moderne Gerät einschalten, ist es das erste Glied in der Sicherheitskette. Da sich UEFI in einem Flash-Chip auf dem Motherboard befindet, ist es schwierig, die Infektion zu erkennen und zu entfernen. Typische Aktionen wie das Löschen der Festplatte und die Neuinstallation des Betriebssystems haben keine nennenswerten Auswirkungen, da die UEFI-Infektion den Computer dann erneut infiziert.
ESET sagte, dass die Schwachstellen – verfolgt als CVE-2022-3430, CVE-2022-3431 und CVE-2022-3432 – „das Deaktivieren von UEFI Secure Boot oder das Wiederherstellen von werkseitigen Standard-Secure-Boot-Datenbanken (einschließlich dbx) ermöglichen: Alles einfach von ein Betriebssystem.“ Secure Boot verwendet Datenbanken, um Mechanismen zuzulassen und abzulehnen. Insbesondere eine DBX-Datenbank speichert kryptografische Hashes zurückgewiesener Schlüssel. Das Deaktivieren oder Wiederherstellen von Standardwerten in Datenbanken ermöglicht es einem Angreifer, Einschränkungen zu entfernen, die normalerweise wirksam wären.
„Dinge in der Firmware vom Betriebssystem aus zu ändern, ist nicht üblich, sondern eher selten“, sagte ein auf Firmware-Sicherheit spezialisierter Forscher, der lieber nicht genannt werden möchte, in einem Interview. „Die meisten Leute meinen, dass man zum Ändern von Einstellungen in der Firmware oder im BIOS physischen Zugriff haben muss, um die DEL-Taste beim Booten zu drücken, um in das Setup zu gelangen und dort Dinge zu tun. Wenn Sie ein paar Dinge vom Betriebssystem aus tun können, das ist irgendwie die große Sache.“
Durch das Deaktivieren von UEFI Secure Boot können Angreifer schädliche UEFI-Anwendungen ausführen, was normalerweise nicht möglich ist, da Secure Boot eine kryptografische Signierung von UEFI-Anwendungen erfordert. In der Zwischenzeit ermöglicht das Wiederherstellen des werkseitigen Standard-DBX Angreifern, einen anfälligen Bootloader zu laden. Im August Forscher der Sicherheitsfirma Eclypsium Ich habe drei prominente Treiber identifiziert Sie können verwendet werden, um den sicheren Start zu umgehen, wenn der Angreifer erhöhte Rechte hat, z. B. Admin unter Windows oder Root unter Linux.
Schwachstellen können ausgenutzt werden, indem Variablen im NVRAM manipuliert werden, dem nichtflüchtigen RAM, der verschiedene Boot-Optionen speichert. Die Sicherheitslücken werden dadurch verursacht, dass Lenovo versehentlich Laptops mit Treibern ausliefert, die nur für die Verwendung während des Herstellungsprozesses entwickelt wurden. Schwachstellen sind:
- CVE-2022-3430: Eine mögliche Schwachstelle im WMI-Setup-Treiber auf einigen Lenovo-Notebooks für Endverbraucher könnte es einem Angreifer mit erhöhten Rechten ermöglichen, die Secure Boot-Einstellungen zu ändern, indem er die NVRAM-Variable ändert.
- CVE-2022-3431: Eine potenzielle Schwachstelle in einem Treiber, der während des Herstellungsprozesses auf einigen Lenovo-Notebooks für Endverbraucher verwendet wird und nicht versehentlich deaktiviert wurde, könnte es einem Angreifer mit erhöhten Rechten ermöglichen, die Einstellung für den sicheren Start zu ändern, indem er die NVRAM-Variable ändert.
- CVE-2022-3432: Eine potenzielle Schwachstelle in einem Treiber, der während des Herstellungsprozesses auf dem Ideapad Y700-14ISK verwendet wird und nicht versehentlich deaktiviert wurde, könnte es einem Angreifer mit erhöhten Rechten ermöglichen, die Secure Boot-Einstellung durch Setzen der NVRAM-Variable zu ändern.
Lenovo korrigiert nur die ersten beiden. CVE-2022-3432 wird nicht gepatcht, da das Unternehmen das betroffene ausgediente Laptop-Modell Ideapad Y700-14ISK nicht mehr unterstützt. Personen, die eines der anderen anfälligen Modelle verwenden, sollten die Patches so schnell wie möglich installieren.