Firmwarefejl gør over 100 Lenovo modeller usikre på millioner af computere

By Michael RasmussenCybersikkerhed, Firmware, Hacking, Kina, Lenovo, Overvågning, Overvågningssoftware, Sikkerhedshuller

Lenovo er en kinessisk virksomhed med ca. 30.000 ansatte og som verdens største PC producent ligger de i Kina, Hong Kong og USA. Det danske forsvar har ca. 2.500 Lenovo computere. Siden 2008 er Lenovo blevet beskyldt for at udstyr kan anvendes til hacking og spionage.

De 3 sikkerhedshuller

Lenovo har nu offentliggjort en sikkerhedsrådgivning om sårbarheder, der påvirker modellernes Unified Extensible Firmware Interface (UEFI). Disse sikkerhedshuller er tilstede på mindst 100 af Lenovo’s bærbare modeller og dermed millioner af computere. I alt tre sikkerhedsproblemer blev opdaget, to af dem gør det muligt for en hacker at deaktivere beskyttelsen af SPI-flashhukommelseschippen, hvor UEFI-firmwaren er gemt, og at slukke for UEFI Secure Boot-funktionen, som sikrer, at systemet indlæses ved opstartstidspunktet, kun kode, der er tillid til af originaludstyrsproducenten (OEM).

Vellykket udnyttelse af en tredje, identificeret som CVE-2021-3970, kan give en lokal angriber mulighed for at udføre vilkårlig kode med forhøjede privilegier.

Alle tre sårbarheder blev opdaget af ESET-forskere og rapporteret ansvarligt til Lenovo i oktober sidste år. De påvirker mere end 100 bærbare forbrugermodeller, herunder IdeaPad 3, Legion 5 Pro-16ACH6 H og Yoga Slim 9-14ITL05, hvilket sandsynligvis betyder millioner af brugere med sårbare enheder.

Drivere tilføjet ved en fejltagelse

Forskere ved ESET advarer om, at de to UEFI-relaterede sårbarheder (CVE-2021-3971 og CVE-2021-3972) kan bruges af angribere til at “implementere og med succes udføre SPI-flash eller ESP-implantater.”

Begge UEFI-relaterede sikkerhedsproblemer i Lenovo-produkter skyldes, at der i produktionen er indført to UEFI-firmwaredrivere – passende navngivet SecureBackDoor og SecureBackDoorPeim – der kun bruges under fremstillingsprocessen. En sikkerhedsrådgivning fra Lenovo beskriver sårbarhederne sådan:

  • CVE-2021-3971: En potentiel sårbarhed af en driver, der bruges under ældre fremstillingsprocesser på nogle Lenovo Notebook-enheder til forbrugere, der fejlagtigt blev inkluderet i BIOS-afbildningen, kan give en hacker med forhøjede rettigheder mulighed for at ændre firmwarebeskyttelsesområdet ved at ændre en NVRAM-variabel.
  • CVE-2021-3972: En potentiel sårbarhed hos en driver, der blev brugt under fremstillingsprocessen på nogle Lenovo Notebook-enheder til forbrugere, der fejlagtigt ikke blev deaktiveret, kan give en hacker med forhøjede rettigheder mulighed for at ændre sikker opstartsindstilling ved at ændre en NVRAM-variabel.

En komplet liste over Lenovo notebook-modeller, der er berørt af hver af de tre sårbarheder, er tilgængelig her.

UEFI-implantater er svære at opdage

ESET har leveret en detaljeret teknisk analyse af de tre sårbarheder, der er afdækket, og bemærker, at “UEFI-trusler kan være ekstremt snigende og farlige”, fordi de udføres “tidligt i opstartsprocessen, FØR de overfører kontrol til operativsystemet.”

Det betyder, at de fleste afbødninger og sikkerhedsløsninger, der er aktive på OS-niveau, er ubrugelige, og udførelse af nyttelast er næsten uundgåelig og uopdagelig.

Det er muligt at opdage dem, selvom processen kræver mere avancerede teknikker som UEFI-integritetskontrol, analyse af firmwaren i realtid eller overvågning af firmwarens adfærd og enheden for mistænkelig aktivitet.

Cybersikkerhedsfirmaet har opdaget to sådanne implantater i fortiden, begge bruges i naturen af trusselsaktører:

  • Lojax – fundet i 2018 og brugt af russiske statsstøttede skuespillere sporet som APT28, Fancy Bear, Sednit, Strontium og Sofacy
  • ESPecter – identificeret i 2021 og aktiv siden 2012 (som et bootkit til BIOS-baserede systemer) for vedholdenhed på EFI-systempartitionen (ESP)

Disse er dog ikke den eneste UEFI-trussel, der er opdaget. Kaspersky offentliggjorde rapporter om MosaicRegressor i 2020, om FinSpy i 2021 og MoonBounce i januar i år.

For at beskytte mod angreb, der stammer fra ovenstående sårbarheder, anbefaler Lenovo, at brugere af berørte enheder opdaterer systemets firmwareversion til den nyeste tilgængelige.

Dette kan gøres ved at installere opdateringen manuelt fra enhedens supportside eller ved hjælp af værktøjer til opdatering af systemdrivere leveret af virksomheden.

Kilde: Bleebing Computer
Fotokredit: Lenovo, Kina