התגלו חולשות בכ-100 דגמים של מחשבי Lenovo המאפשרות להתקין בהם נוזקות
מאת:
מערכת Telecom News, 19.4.22, 14:01
המחשבים הניידים של לנובו מובילים את נתח השוק של המחשבים האישיים בישראל נכון ל-2021, ומומלץ לעבור על רשימת המחשבים החשופים לחולשות ולעדכן קושחה בהקדם האפשרי, כי החולשות מאפשרות לתוקפים לשלוח ולהפעיל בהצלחה נוזקות UEFI דוגמת Lojax ו-ESPecter. איומי UEFI יכולים לחמוק בקלות מגילוי והם מסוכנים מאוד.
חברת אבטחת המידע
ESET איתרה חולשות במחשבים הניידים של חברת לנובו, שמאפשרות לתוקפים לשלוח ולהפעיל בהצלחה נוזקות
UEFI דוגמת
LoJax ו-
ESPecter. המחשבים של לנובו מובילים את נתח השוק של המחשבים האישיים בישראל נכון ל-2021.
UEFI היא קושחה, שנמצאת בשבב בלוח האם במחשב, שמטרתה לקשר בין החומרה (המחשב הפיזי) לבין התוכנה (מערכת ההפעלה).
מדובר במערכת, שעולה לפני עליית מערכת ההפעלה, ובה ניתן לבצע הגדרות שונות על המחשב. באמצעות המערכת נבדקים רכיבי המחשב כדי לוודא, שהם תקינים והמחשב יכול להמשיך בהעלאת מערכת ההפעלה בצורה תקינה.
ESET דיווחה לחברת לנובו באוקטובר 2021 על כל החולשות שהתגלו. רשימת המחשבים החשופים לחולשה מונה כ-100 דגמים שונים הנמצאים אצל מיליוני משתמשים בכל רחבי העולם.
שתי החולשות הראשונות -
CVE-2021-3970 ו-
CVE-2021-3971 - נקראות דלתות אחוריות ״בטוחות״ המובנות בקושחת ה-
UEFI. זהו, למעשה, השם שלנובו בחרה לתת לדרייברים מתוצרתה, שמנצלים את אחת החולשות האלה (
CVE-2021-3971):
SecureBackDoor ו-
SecureBackDoorPeim.
ניתן להפעיל את הדלתות האחוריות המובנות האלו כדי לכבות הגנות על הפלאש
SPI (ביטים של
BIOS Control Register ורישומי
Protection Range) או את אפשרות
UEFI Secure Boot באמצעות תהליך המופעל ע"י משתמש בעל הרשאות גבוהות במהלך זמן ההרצה של מערכת ההפעלה.
בנוסף, בזמן שחוקרי החברה חקרו את קבצי ההפעלה של אותן דלתות אחוריות ״בטוחות״, הם גילו חולשה נוספת - פגם בזיכרון ה-
SMM בתוך הפונקציה המנהלת את ה-
SW SMI (
CVE-2021-3972). החולשה הזאת מאפשרת קריאה וכתיבה מה-
SMRAM ואליו באופן שרירותי, מה שעלול להוביל להרצת קוד זדוני בהרשאות
SMM ולשליחת
SPI flash implant (נוזקה לתוך השבב בלוח אם).
שירותי ההפעלה וזמן הריצה של ה-
UEFI הם אלה המאפשרים את הפונקציות ומבני הנתונים הבסיסיים, שנחוצים לפעילות של דרייברים ותוכנות, כמו התקנת פרוטוקולים, איתור פרוטוקולים קיימים, הקצאת זיכרון, ביצוע שינויים במשתני
UEFI וכו׳.
אפליקציות ודרייברים, שפועלים בשלב הפעלת ה-
UEFI, משתמשים בפרוטוקולים בחלק ניכר מפעולותיהם. משתני
UEFI הם מנגנון אחסון מיוחד של הקושחה, שמשמש מודולי
UEFI כדי לאחסן נתוני הגדרות שונים, ביניהם הגדרת תהליך ההפעלה.
לעומת זאת,
SMM הוא מצב הפעלה בעל הרשאות גבוהות במיוחד במעבדי
x86. הקוד שלו כתוב כחלק מההקשר של קושחת המערכת והוא משמש בד"כ למשימות שונות כמו ניהול חשמל מתקדם, הפעלה של קוד
OEM קנייני ועדכונים בטוחים של הקושחה.
כל איומי ה-
UEFI האותנטיים, שהתגלו בשנים האחרונות –
LoJax,
MosaicRegressor,
MoonBounce,
ESPector ו-
FinSpy - נדרשו לעקוף או לכבות את מנגנוני האבטחה באופן מסוים כדי שניתן יהיה לשלוח ולהפעיל אותם.
ESET ממליצה לכל מחזיקי המחשבים הניידים מבית לנובו לעבור על
רשימת המחשבים שמושפעים מהחולשה ולעדכן את הקושחה שלהם
לפי הנחיות היצרן.
למשתמשים, שמחזיקים במכשירים, שאינם נתמכים יותר ע"י לנובו, ובהם התגלתה פרצת
UEFI SecureBootBackdoor (
CVE-2021-3970) שעבורה אין עדכון או תיקון: אחת הדרכים, שתסייע לכן להתגונן מפני שינוי לא-רצוי של מצב
UEFI Secure Boot היא להשתמש בפתרון להצפנה מלאה של הכונן באמצעות
TPM (רכיב המשמש לאימות ונמצא בלוח אם ברוב המחשבים המודרניים), שמאפשרת לחסום את הגישה למידע בכונן אם הגדרת
UEFI Secure Boot משתנה.
מרטין סמולאר, חוקר
ESET, שגילה את החולשות: ״איומי
UEFI יכולים לחמוק מגילוי בקלות והם מסוכנים מאוד. הם מופעלים בשלב מוקדם של תהליך ההפעלה, לפני שהשליטה מועברת למערכת ההפעלה, מה שאומר, שהם יכולים לעקוף את הרוב המוחלט של אמצעי ההגנה הפועלים בשלב מאוחר יותר ויכלו למנוע את הרצת המטען הזדוני שלהם.
הדלתות האחוריות 'הבטוחות', שגילינו ב-
UEFI, מראות, שבמקרים מסוימים, שליחת איומי
UEFI קלה יותר מהמצופה, והכמות ההולכת וגדלה של איומי
UEFI אותנטיים, שהתגלו בשנים האחרונות מראה, שגם עברייני הסייבר מודעים לכך״.