Falha de driver da Lenovo representa risco de segurança para usuários de 25 modelos de notebook
admin
4 min read
[ad_1]
Imagens Getty
Mais de duas dúzias de modelos de notebooks Lenovo são vulneráveis a hacks maliciosos que desativam o processo de inicialização segura UEFI e, em seguida, executam aplicativos UEFI não assinados ou carregam bootloaders que fazem backdoor permanente em um dispositivo, alertaram pesquisadores na quarta-feira.
Ao mesmo tempo que pesquisadores da empresa de segurança ESET divulgou as vulnerabilidades, a fabricante de notebooks lançou atualizações de segurança para 25 modelos, incluindo ThinkPads, Yoga Slims e IdeaPads. Vulnerabilidades que prejudicam a inicialização segura UEFI podem ser graves porque possibilitam que invasores instalem firmware malicioso que sobrevive a várias reinstalações do sistema operacional.
Não é comum, mesmo raro
Abreviação de Unified Extensible Firmware Interface, UEFI é o software que conecta o firmware do dispositivo de um computador com seu sistema operacional. Como o primeiro pedaço de código a ser executado quando praticamente qualquer máquina moderna é ligada, é o primeiro elo da cadeia de segurança. Como o UEFI reside em um chip flash na placa-mãe, as infecções são difíceis de detectar e remover. Medidas típicas, como limpar o disco rígido e reinstalar o sistema operacional, não têm impacto significativo porque a infecção UEFI simplesmente reinfectará o computador posteriormente.
A ESET disse que as vulnerabilidades – rastreadas como CVE-2022-3430, CVE-2022-3431 e CVE-2022-3432 – “permitem desabilitar o UEFI Secure Boot ou restaurar os bancos de dados Secure Boot padrão de fábrica (incl. dbx): tudo simplesmente a partir de um sistema operacional .” A inicialização segura usa bancos de dados para permitir e negar mecanismos. O banco de dados DBX, em particular, armazena hashes criptográficos de chaves negadas. Desabilitar ou restaurar valores padrão nos bancos de dados possibilita que um invasor remova restrições que normalmente estariam em vigor.
“Mudar coisas no firmware do sistema operacional não é comum, nem raro”, disse um pesquisador especializado em segurança de firmware, que preferiu não ser identificado, em entrevista. “A maioria das pessoas quer dizer que, para alterar as configurações no firmware ou no BIOS, você precisa ter acesso físico para esmagar o botão DEL na inicialização para entrar na configuração e fazer as coisas lá. Quando você pode fazer algumas coisas do sistema operacional, isso é um grande negócio.”
Desabilitar o UEFI Secure Boot libera os invasores para executar aplicativos UEFI maliciosos, algo que normalmente não é possível porque a inicialização segura exige que os aplicativos UEFI sejam assinados criptograficamente. A restauração do DBX padrão de fábrica, enquanto isso, permite que os invasores carreguem carregadores de inicialização vulneráveis. Em agosto, pesquisadores da empresa de segurança Eclypsium identificaram três drivers de software proeminentes que poderiam ser usados para contornar a inicialização segura quando um invasor tem privilégios elevados, ou seja, administrador no Windows ou root no Linux.
As vulnerabilidades podem ser exploradas adulterando variáveis na NVRAM, a RAM não volátil que armazena várias opções de inicialização. As vulnerabilidades são o resultado do envio equivocado de Notebooks da Lenovo com drivers que deveriam ser usados apenas durante o processo de fabricação. As vulnerabilidades são:
- CVE-2022-3430: Uma vulnerabilidade potencial no driver de configuração WMI em alguns dispositivos Lenovo Notebook pode permitir que um invasor com privilégios elevados modifique as configurações de inicialização segura alterando uma variável NVRAM.
- CVE-2022-3431: Uma vulnerabilidade potencial em um driver usado durante o processo de fabricação em alguns dispositivos Lenovo Notebook de consumidor que não foi desativado por engano pode permitir que um invasor com privilégios elevados modifique a configuração de inicialização segura alterando uma variável NVRAM.
- CVE-2022-3432: Uma vulnerabilidade potencial em um driver usado durante o processo de fabricação no Ideapad Y700-14ISK que não foi desativado por engano pode permitir que um invasor com privilégios elevados modifique a configuração de inicialização segura ajustando uma variável NVRAM.
A Lenovo está corrigindo apenas os dois primeiros. O CVE-2022-3432 não será corrigido porque a empresa não suporta mais o Ideapad Y700-14ISK, o modelo de notebook em fim de vida que foi afetado. As pessoas que usam qualquer um dos outros modelos vulneráveis devem instalar patches assim que possível.
Vai para discussão…
[ad_2]
Source link
