Сьогодні ESET оголосила, що один з її дослідників виявив ряд вразливостей в споживчих ноутбуках Lenovo, що вплинуло на понад сто різних моделей і мільйони користувачів по всьому світу.
За словами Мартіна Смолара, аналітика шкідливих програм eSET, який виявив уразливості, CVE-2021-3970, CVE-2021-3971 і CVE-2021-3972 можуть дозволити зловмисникам “відключити механізми безпеки і встановити свої шкідливі програми UEFI в системах”.
По суті, це дозволить зловмиснику розгорнути шкідливе програмне забезпечення на основі UEFI, такі як LoJax і ESpecter.
”Погрози UEFI можуть бути надзвичайно прихованими і небезпечними. Вони виконуються на початку процесу завантаження, перш ніж передати контроль операційній системі, а це означає, що вони можуть обійти майже всі заходи безпеки та пом’якшення, вищі в стеку, які можуть запобігти виконанню корисних навантажень їх операційної системи», – сказав Смолар.
У той час як системні уразливості впливають тільки на споживчі ноутбуки Lenovo, з більшою кількістю організацій, що охоплюють віддалену роботу після пандемії COVID-19, багато співробітників використовують споживчі пристрої для роботи з дому. Дослідження показують, що 49% співробітників все ще використовують персональні комп’ютери для роботи.
В результаті виявлені сьогодні вразливості Lenovo можуть бути використані для отримання доступу до особистого пристрою співробітника, який зловмисник може використовувати для збору захищених даних або навіть роботи над зломом інших пристроїв в мережі.
Наскільки шкідлива загроза програмного забезпечення UEFI?
В останні роки було кілька гучних атак, які включали загрози UEFI, зовсім недавно в кінці минулого року, коли Kaspersky SecureList виявив компроміс на рівні прошивки UEFI в журналах свого сканера прошивки.
У цьому випадку хакери ввели ланцюг зараження до потоку виконання послідовності завантаження машини, щоб скомпрометувати сканер.
На високому рівні шкідливе програмного забезпечення UEFI загрожує тим, що як тільки зловмисник заражає UEFI комп’ютера, вони можуть взяти під контроль пристрій і отримати доступ до будь-яких файлів, що зберігаються на ньому, за бажанням. При цьому шкідливе програмне забезпечення не видаляється, навіть якщо користувач перевстановлює операційну систему або замінює жорсткий диск.
Хоча організації не повинні ігнорувати вразливість прошивки Lenovo, аналітик Gartner Пітер Первіструк підкреслює, що ризик, пов’язаний з цими останніми вразливостями Lenovo, мінімальні через те, наскільки складними вони є для експлуатації.
”Безпосередній ризик низький. Це складні вразливості для експлуатації, деякі з них вимагають привілейованого доступу, а хороші рішення для захисту кінцевої точки повинні виявляти діяльність, необхідну для використання CVE. Однак для споживачів, які не встановлять патч, і не мають поведінкового захисту кінцевої точки, це може бути серйозною довгоживучою проблемою”, – сказав Firstbrook.
”Імплантанти прошивки важко виявити за допомогою стандартного антивірусного програмного забезпечення. У довгостроковій перспективі більшість організацій не готові до виявлення вразливостей і виправлення прошивки”, – сказав Firstbrook.
Що можуть зробити підприємства, щоб виправити нововиявлені вразливості Lenovo
Єдиний спосіб виправити ці нові уразливості – оновити прошивку ноутбука. Lenovo випустила список усіх постраждалих пристроїв, а також інструкції про те, як їх оновити, щоб користувачі могли шукати продукти за назвою або типом машини, а також розгортати ручні оновлення для постраждалих компонентів.
Хоча це простий процес, у віддалених робочих середовищах, де співробітники використовують особисті пристрої Lenovo, все складніше, оскільки командам безпеки доводиться покладатися на співробітників для розгортання оновлень.
Найпростіший спосіб заохотити співробітників до розгортання оновлень – це розіслати електронний лист із повідомленням персоналу про ризики, які ці вразливості представляють для їх особистої інформації та широкого підприємства, поряд зі списком постраждалих пристроїв, випущених Lenovo.
