Peste 1 milion de laptopuri și PC-uri Lenovo, vulnerabile la atacuri cu malware nedetectabil și imposibil de șters

Localizată în firmware-ul UEFI livrat de producător, vulnerabilitatea regăsită pe foarte multe modele de de laptopuri și PC-uri Lenovo fac posibile atacuri cu malware nedetectabil și aproape imposibil de îndepărtat.

Spre deosebire de vechiul BIOS regăsit pe PC-uri de acum un deceniu, firmware-ul UEFI este mult mai sofisticat, apărând ca un mini-sistem de operare găzduit pe un chip de memorie Flash lipit pe placa de bază. Complet invizibil față de OS-ul principal (ex. Windows), firmware-ul UEFI este responsabil cu gestionarea diferitelor componente ale PC-ului și are acces practic nelimitat asupra părții de hardware. Astfel, compromiterea sa prin infiltrarea de elemente malware poate avea efecte devastatoare, hackerii care folosesc acest vector de atac obținând acces asupra dispozitivului într-un mod nedetectabil și foarte dificil de remediat ulterior.

Practic, reinstalarea de la zero a sistemului de operare nu rezolvă problema, din moment de infectarea este localizată într-un chip de memorie separat, în mod normal accesibil pentru scriere doar cu ajutorul unor unelte software specializate, folosite de Lenovo în timpul fabricării echipamentelor respective.

Denumite CVE-2021-3971 și CVE-2021-3972, cele două vulnerabilități sunt localizate în drivere Lenovo incluse accidental cu firmware-ul UEFI oficial. În mod normal, inginerii Lenovo ar fi trebuit să dezactiveze funcția de rescriere UEFI pe dispozitivele livrate consumatorilor, această comandă utilă în testarea de pre-producție reprezentând practic o invitație pentru hackeri.

Spre exemplu, un eventual atacator poate folosi această vulnerabilitate pentru a neutraliza mecanisme esențiale de securitate, cum ar fi UEFI Secure Boot, permițând încărcarea de malware care să ruleze în spațiul de memorie protejată a sistemului de operare. Nu în ultimul rând, hackerii pot face ceea ce Lenovo a uitat, respectiv să dezactiveze funcția de rescriere UEFI, împiedicând restabilirea firmware-ului original pentru neutralizarea malware-ului deja infiltrat.

Singura modalitate de închidere a acestei vulnerabilități este aplicarea actualizărilor de firmware deja puse la dispozitive de Lenovo. Vestea bună este că pentru exploatarea acestor vulnerabilități este nevoie ca atacatorul să aibă fizic acces asupra dispozitivului, fapt ce exclude posibilitatea „colectării” unui astfel de virus în folosirea de zi cu zi a echipamentului. În schimb, atenție sporită trebuie acordată sursei de unde laptopul sau PC-ul Lenovo este procurat, echipamentele astfel compromise fiind greu de descoperit ulterior.