Bug de driver da Lenovo representa um risco de segurança para usuários de 25 modelos de laptop

imagens falsas

Mais de duas dúzias de modelos de laptops Lenovo são vulneráveis ​​a ataques maliciosos que desativam o processo de inicialização segura UEFI e, em seguida, executam aplicativos UEFI não assinados ou carregam carregadores de inicialização que bloqueiam permanentemente um dispositivo, alertaram pesquisadores na quarta-feira.

Ao mesmo tempo que pesquisadores da empresa de segurança ESET divulgou as vulnerabilidadeso fabricante de cadernos atualizações de segurança lançadas para 25 modelos, incluindo ThinkPads, Yoga Slims e IdeaPads. Vulnerabilidades que prejudicam o UEFI Secure Boot podem ser graves porque possibilitam que invasores instalem firmware malicioso que sobrevive a várias reinstalações do sistema operacional.

Não é comum, mesmo raro

Abreviação de Unified Extensible Firmware Interface, UEFI é o software que vincula o firmware do dispositivo de um computador ao seu sistema operacional. Como o primeiro pedaço de código executado quando praticamente qualquer máquina moderna é ligada, é o primeiro elo na cadeia de segurança. Como o UEFI reside em um chip flash na placa-mãe, as infecções são difíceis de detectar e remover. Medidas típicas como limpar o disco rígido e reinstalar o sistema operacional não têm um impacto significativo porque a infecção UEFI simplesmente reinfectará o computador posteriormente.

A ESET disse que as vulnerabilidades, rastreadas como CVE-2022-3430, CVE-2022-3431 e CVE-2022-3432, “permitem que você desative o UEFI Secure Boot ou restaure os bancos de dados Secure Boot padrão de fábrica (incluindo dbx): tudo simplesmente de um sistema operacional.” A Inicialização Segura usa mecanismos de permissão e negação de banco de dados. O banco de dados DBX, em particular, armazena hashes criptográficos de chaves negadas. Desabilitar ou restaurar valores padrão em bancos de dados possibilita que um invasor remova restrições que normalmente existiriam.

“Mudar coisas no firmware do sistema operacional não é comum, nem raro”, disse um pesquisador de segurança de firmware, que preferiu não ser identificado, em entrevista. “A maioria das pessoas quer dizer que, para alterar as configurações no firmware ou BIOS, você precisa ter acesso físico para pressionar o botão DEL na inicialização para entrar na configuração e fazer as coisas lá. Quando você pode fazer algumas coisas a partir do sistema operacional, isso é um grande problema.”

Desabilitar o UEFI Secure Boot libera os invasores para executar aplicativos UEFI maliciosos, o que normalmente não é possível porque o Secure Boot exige que os aplicativos UEFI sejam assinados criptograficamente. Enquanto isso, restaurar o DBX padrão de fábrica permite que invasores carreguem carregadores de inicialização vulneráveis. Em agosto, pesquisadores da empresa de segurança Eclypsium identificou três drivers de software proeminentes que pode ser usado para ignorar a inicialização segura quando um invasor tem privilégios elevados, ou seja, administrador no Windows ou root no Linux.

As vulnerabilidades podem ser exploradas manipulando variáveis ​​na NVRAM, a memória RAM não volátil que armazena várias opções de inicialização. As vulnerabilidades são o resultado de a Lenovo enviar, por engano, laptops com drivers projetados para uso apenas durante o processo de fabricação. As vulnerabilidades são:

  • CVE-2022-3430 – Uma vulnerabilidade potencial no driver de configuração WMI em alguns dispositivos portáteis Lenovo de consumo pode permitir que um invasor com privilégios elevados modifique a configuração de inicialização segura alterando uma variável NVRAM.
  • CVE-2022-3431: Uma vulnerabilidade potencial em um driver usado durante o processo de fabricação em alguns dispositivos portáteis Lenovo de consumidor que não foi desabilitado por engano pode permitir que um invasor elevado modifique a configuração de inicialização segura alterando uma variável NVRAM .
  • CVE-2022-3432 – Uma vulnerabilidade potencial em um driver usado durante o processo de fabricação no Ideapad Y700-14ISK que não foi desabilitado por engano pode permitir que um invasor elevado modifique a configuração de inicialização segura ajustando uma variável NVRAM.

A Lenovo está corrigindo apenas os dois primeiros. O CVE-2022-3432 não será corrigido porque a empresa não oferece mais suporte ao Ideapad Y700-14ISK, o modelo de laptop EOL afetado. As pessoas que usam qualquer um dos outros modelos vulneráveis ​​devem instalar os patches o mais rápido possível.

Vai para discussão…

You May Also Like

About the Author: Gabriela Cerqueira

"Solucionador de problemas do mal. Amante da música. Especialista certificado em cultura pop. Organizador. Guru do álcool. Fanático por café."

Deixe um comentário

O seu endereço de e-mail não será publicado.