Lenovo fixt bug in ruim 100 laptops om onverwijderbare bios-infecties te voorkomen

0 reacties

Er zijn drie kwetsbaarheden gevonden en gefixt in ruim 100 laptop-modellen van Lenovo, waardoor in totaal ruim een miljoen laptop's geraakt was. Het was mogelijk om aangepaste firmware te installeren die bijna onmogelijk te detecteren en verwijderen zou zijn. De reden hiervoor is dat de uefi of bios op een losse chip op het moederbord opgeslagen wordt en de eerste software is die uitgevoerd wordt bij het opstarten.

CVE-2021-3971 en CVE-2021-3972 zijn onderdeel van uefi-drivers die enkel in het productieproces gebruikt hadden moeten worden. Deze zijn incorrect uitgeschakeld waardoor ze in de uiteindelijke bios-image terecht gekomen zijn. Hackers kunnen met deze drivers onder andere Secure Boot uitschakelen en controle-bits in de Serial Peripheral Interface of SPI veranderen om ongemerkt de firmware aan te passen.

Na het analyseren van deze twee beveiligingsgaten vonden onderzoekers van it-beveiligingsbedrijf ESET nog een derde kwetsbaarheid. CVE-2021-3970 laat hackers aangepaste firmware uitvoeren in de system management mode. Dit is een modus met veel rechten die normaal gesproken door fabrikanten gebruikt wordt voor low-level management.

Trammel Hudson, een beveiligingsonderzoeker die gespecialiseerd is in firmware-hacks noemt de mogelijke aanvallen ernstig, op basis van de beschrijving. Wel moet de aanvaller beschikken over de nodige kennis en kunde. Beschermingen zoals BootGuard, dat het opstartproces moet beschermen tegen kwaadwillende firmware, zouden effect kunnen hebben. In het verleden zijn er kritieke kwetsbaarheden geweest die deze beschermingen omzeilden.

Alle drie de kwetsbaarheden vereisen lokale toegang, waardoor de aanvaller al controle moet hebben over het apparaat voordat deze uitgebuit kunnen worden. Hiervoor is over het algemeen een andere kwetsbaarheid nodig om in het systeem binnen te komen. Lenovo heeft een lijst gepubliceerd met de getroffen modellen, en vraagt eigenaars om zo snel mogelijk te updaten naar de nieuwste firmware-versie. De instructies daarvoor zijn eveneens in het bericht te vinden. Voor de modellen waarvoor nog geen fix beschikbaar is het doel dat deze op 10 mei 2022 beschikbaar zijn.

Martin Smolár van ESET wordt bedankt voor het melden van de kwetsbaarheden. Lenovo heeft een statement gedeeld met Hardware Info(vertaald):

Lenovo bedankt ESET voor het bij ons onder de aandacht brengen van een probleem in de drivers die gebruikt worden bij het produceren van sommige consumenten-notebooks. De drivers zijn gefixt, en klanten die updaten zoals beschreven in het advies van Lenovo zijn beschermd. Lenovo staat open voor samenwerking met BIOS-onderzoekers en verhoogt de investeringen in BIOS-beveiliging om te verzekeren dat onze producten industriestandaarden blijven volgen of overschrijden.

Bron: Ars Technica

« Vorig bericht Volgend bericht »
0