Nieuwe Lenovo UEFI-firmware-kwetsbaarheden treffen miljoenen laptops

Vulnérabilités du micrologiciel UEFI Nachrichten

Er zijn drie belangrijke beveiligingsproblemen met Unified Extensible Firmware Interface (UEFI) ontdekt die van invloed zijn op verschillende Lenovo-laptopmodellen voor consumenten, waardoor kwaadwillende actoren firmware-implantaten op de getroffen apparaten kunnen implementeren en uitvoeren.

Bijgehouden als CVE-2021-3970, CVE-2021-3971 en CVE-2021-3972, beïnvloeden de laatste twee „firmwarestuurprogramma’s die oorspronkelijk alleen bedoeld waren om te worden gebruikt tijdens het fabricageproces van Lenovo-consumentennotebooks“, ESET-onderzoeker Martin Smolár zei in een vandaag gepubliceerd rapport.

„Helaas werden ze per ongeluk ook opgenomen in de productie-BIOS-images zonder correct te deactiveren“, voegde Smolár eraan toe.

Succesvol misbruik van de fouten kan een aanvaller in staat stellen om SPI-flashbeveiligingen of Secure Boot uit te schakelen, waardoor de tegenstander effectief de mogelijkheid krijgt om permanente malware te installeren die het opnieuw opstarten van het systeem kan overleven.

UEFI Firmware-kwetsbaarheden

CVE-2021-3970 daarentegen heeft betrekking op een geval van geheugenbeschadiging in de systeembeheermodus (SMM) van het bedrijf, wat leidt tot de uitvoering van kwaadaardige code met de hoogste privileges.

De drie gebreken werden op 11 oktober 2021 aan de pc-maker gemeld, waarna pleisters zijn uitgegeven op 12 april 2022. Hieronder vindt u een samenvatting van de drie gebreken zoals beschreven door Lenovo:

  • CVE-2021-3970 – Een potentiële kwetsbaarheid in LenovoVariable SMI Handler als gevolg van onvoldoende validatie in sommige Lenovo Notebook-modellen kan een aanvaller met lokale toegang en verhoogde bevoegdheden in staat stellen willekeurige code uit te voeren.
  • CVE-2021-3971 – Een potentiële kwetsbaarheid door een stuurprogramma dat tijdens oudere productieprocessen op sommige Lenovo-notebooks voor consumentengebruik werd gebruikt en dat ten onrechte in de BIOS-image was opgenomen, kan een aanvaller met verhoogde bevoegdheden in staat stellen de firmware-beveiligingsregio te wijzigen door een NVRAM-variabele aan te passen.
  • CVE-2021-3972 – Een potentiële kwetsbaarheid door een stuurprogramma dat tijdens het fabricageproces op sommige Lenovo notebooks voor consumentengebruik is gebruikt en dat per ongeluk niet is gedeactiveerd, kan een aanvaller met verhoogde bevoegdheden in staat stellen de veilige opstartinstelling te wijzigen door een NVRAM-variabele te wijzigen.

De zwakke punten die Lenovo Flex beïnvloeden; IdeePads; Legioen; V14-, V15- en V17-serie; en Yoga-laptops, dragen bij aan de onthulling van maar liefst 50 UEFI-firmware-kwetsbaarheden in Insyde Software’s InsydeH2O, HP en Dell sinds het begin van het jaar.

Inbegrepen in de lijst zijn: zes ernstige gebreken in HP’s firmware die laptops en desktops aantast en die, indien succesvol misbruikt, aanvallers in staat zou kunnen stellen om lokaal te escaleren naar SMM-rechten en een denial-of-service (DoS)-toestand te veroorzaken.

„UEFI-bedreigingen kunnen extreem sluipend en gevaarlijk zijn“, zei Smolár. „Ze worden vroeg in het opstartproces uitgevoerd, voordat ze de controle overdragen aan het besturingssysteem, wat betekent dat ze bijna alle beveiligingsmaatregelen en -beperkingen hoger in de stack kunnen omzeilen die zouden kunnen voorkomen dat hun OS-payloads worden uitgevoerd.“

David
Rate author
Hackarizona