مزخرف راننده لنوو برای کاربران 25 مدل نوت بوک خطر امنیتی ایجاد می کند

محققان روز چهارشنبه هشدار دادند که بیش از دوجین مدل نوت‌بوک لنوو در برابر هک‌های مخربی آسیب‌پذیر هستند که فرآیند راه‌اندازی امن UEFI را غیرفعال می‌کنند و سپس برنامه‌های بدون امضای UEFI را اجرا می‌کنند یا بوت‌لودرهایی را بارگیری می‌کنند که به‌طور دائم یک دستگاه را در پشتی قرار می‌دهند.

در همان زمان که محققان شرکت امنیتی ESET آسیب پذیری ها را فاش کرد، سازنده نوت بوک به روز رسانی های امنیتی را برای 25 مدل از جمله ThinkPads، Yoga Slims و IdeaPads منتشر کرد. آسیب‌پذیری‌هایی که بوت امن UEFI را تضعیف می‌کنند، می‌توانند جدی باشند، زیرا این امکان را برای مهاجمان فراهم می‌کنند که سفت‌افزار مخربی را نصب کنند که از چندین بار نصب مجدد سیستم‌عامل جان سالم به در ببرد.

رایج نیست، حتی نادر است

مخفف عبارت Unified Extensible Firmware Interface، UEFI نرم افزاری است که میان افزار دستگاه کامپیوتر را با سیستم عامل آن پیوند می دهد. به عنوان اولین قطعه کدی که وقتی تقریباً هر ماشین مدرنی روشن است اجرا می شود، اولین حلقه در زنجیره امنیتی است. از آنجایی که UEFI در یک تراشه فلش روی مادربرد قرار دارد، تشخیص و حذف عفونت ها دشوار است. اقدامات معمولی مانند پاک کردن هارد دیسک و نصب مجدد سیستم عامل هیچ تاثیر معنی داری ندارند زیرا عفونت UEFI به سادگی کامپیوتر را پس از آن دوباره آلوده می کند.

ESET گفت این آسیب‌پذیری‌ها – که به‌عنوان CVE-2022-3430، CVE-2022-3431 و CVE-2022-3432 ردیابی می‌شوند، «به غیرفعال کردن UEFI Secure Boot یا بازیابی پایگاه‌های داده Secure Boot پیش‌فرض کارخانه (شامل dbx) اجازه می‌دهند. ” Secure boot از پایگاه های داده برای اجازه و رد مکانیسم ها استفاده می کند. پایگاه داده DBX، به ویژه، هش رمزنگاری کلیدهای رد شده را ذخیره می کند. غیرفعال کردن یا بازیابی مقادیر پیش‌فرض در پایگاه‌های اطلاعاتی این امکان را برای مهاجم فراهم می‌کند که محدودیت‌هایی را که معمولاً وجود دارند حذف کند.

یک محقق متخصص در امنیت سیستم‌افزار که ترجیح داد نامش فاش نشود، در مصاحبه‌ای گفت: «تغییر چیزها در سیستم‌عامل از سیستم‌عامل معمول نیست، حتی نادر است. منظور اکثر افراد این است که برای تغییر تنظیمات در میان‌افزار یا بایوس، باید دسترسی فیزیکی داشته باشید تا دکمه DEL را در هنگام بوت بشکنید تا وارد تنظیمات شوید و کارها را در آنجا انجام دهید. وقتی می‌توانید برخی از کارها را از سیستم‌عامل انجام دهید، این یک چیز بزرگ است.»

غیرفعال کردن راه‌اندازی امن UEFI، مهاجمان را آزاد می‌کند تا برنامه‌های مخرب UEFI را اجرا کنند، چیزی که معمولاً امکان‌پذیر نیست، زیرا بوت امن نیاز به امضای رمزنگاری برنامه‌های UEFI دارد. در همین حال، بازیابی DBX پیش فرض کارخانه به مهاجمان اجازه می دهد تا بوت لودرهای آسیب پذیر را بارگیری کنند. در ماه آگوست، محققان شرکت امنیتی Eclypsium سه درایور نرم‌افزار برجسته را شناسایی کردند که می‌توان از آنها برای دور زدن راه‌اندازی ایمن زمانی که مهاجم دارای امتیازات بالاتری است، استفاده کرد، یعنی مدیر در ویندوز یا روت در لینوکس.

این آسیب‌پذیری‌ها را می‌توان با دستکاری متغیرها در NVRAM، رم غیر فرار که گزینه‌های مختلف راه‌اندازی را ذخیره می‌کند، مورد سوء استفاده قرار داد. این آسیب‌پذیری‌ها نتیجه این است که لنوو اشتباهاً نوت‌بوک‌هایی را با درایورهایی ارسال می‌کند که فقط برای استفاده در طول فرآیند تولید در نظر گرفته شده بودند. آسیب پذیری ها عبارتند از:

• CVE-2022-3430: یک آسیب‌پذیری احتمالی در درایور WMI Setup در برخی از دستگاه‌های لنوو نوت‌بوک مصرف‌کننده ممکن است به مهاجمی با امتیازات بالا اجازه دهد تا تنظیمات بوت امن را با تغییر یک متغیر NVRAM تغییر دهد.
• CVE-2022-3431: یک آسیب‌پذیری احتمالی در درایوری که در طول فرآیند تولید در برخی از دستگاه‌های نوت‌بوک Lenovo مصرف‌کننده استفاده می‌شود و به اشتباه غیرفعال نشده است، ممکن است به مهاجمی با امتیازات بالا اجازه دهد تا با تغییر یک متغیر NVRAM، تنظیمات راه‌اندازی امن را تغییر دهد.
• CVE-2022-3432: یک آسیب پذیری احتمالی در درایوری که در طول فرآیند تولید در Ideapad Y700-14ISK استفاده می شود و به اشتباه غیرفعال نشده است، ممکن است به مهاجمی با امتیازات بالا اجازه دهد تا با تنظیم یک متغیر NVRAM تنظیمات بوت امن را تغییر دهد.

لنوو فقط دو مورد اول را اصلاح می کند. CVE-2022-3432 وصله نمی شود زیرا این شرکت دیگر از Ideapad Y700-14ISK، مدل نوت بوک پایان عمری که تحت تأثیر قرار گرفته است، پشتیبانی نمی کند. افرادی که از هر یک از مدل های آسیب پذیر دیگر استفاده می کنند باید در اسرع وقت وصله ها را نصب کنند.

برو به بحث…