Zero-day exploit ontdekt in UEFI-driver op Lenovo Thinkpad laptops

11 reacties

Een zero-day exploit is ontdekt in een UEFI-driver. De exploit laat de aanvaller toe de schrijfbeveiliging te verwijderen op het flashgeheugen, zodat er een toegang ontstaat om elk mogelijk script te draaien op het System Management Mode. Normaal is deze modus alleen toegankelijk voor de CPU.

De exploit is genaamd ThinkPwn, afgeleid van ThinkPad en Pwned. Wanneer de aanvaller eenmaal een ThinkPwn heeft gebruikt om het systeem toegankelijk te maken voor een aanval, kan de Secure Boot uitgeschakeld worden welke gebruikt wordt om de echtheid van de OS bootloader te verifiëren. Secure Boot gaat rootkits tegen op boot-niveau. Nadat Secure Boot is uitgeschakeld, is er toegang tot Windows beveiligingsfeatures en kunnen deze ook uitgeschakeld worden. Een van die features is Credential Guard, welke gebruikt wordt om bijvoorbeeld enterprise domeinreferenties te beveiligen.

Volgens Lenovo is de geïnfecteerde code niet terug te vinden in zijn eigen UEFI, maar in die van een onafhankelijke BIOS-leverancier. De omvang van het beveiligingsprobleem is nog niet bekend, maar op dit moment lijkt het alleen beperkt te zijn tot Lenovo ThinkPad apparaten. Het is echter een reële mogelijkheid dat andere leveranciers en PC-fabrikanten getroffen zijn. Lenovo geeft in een reactie aan dat het probleem terug te vinden is in de gehele PC-markt. 

Om een systeem aan te vallen moet er wel fysieke toegang plaatsvinden tot het apparaat. De UEFI kan namelijk alleen fysiek benaderd worden en daarvoor is een USB flashdrive voor nodig.

 

Bron: Winbeta

« Vorig bericht Volgend bericht »
0
*