ESET обнаружила уязвимости UEFI у 25 моделей ноутбуков Lenovo – компания уже закрыла две проблемы из трех
Более двух десятков моделей ноутбуков Lenovo уязвимы для взлома, отключающего безопасную загрузку UEFI, а затем запускает неподписанный код или блокирует загрузку устройства.
Исследователи из компании ESET раскрыли уязвимость и объявили о ней 9 ноября – за день после того, как производитель ноутбуков выпустил обновления безопасности для 25 моделей устройств, перечисленных по ссылке. Владельцам ноутбуков из списка настоятельно рекомендуется обновить UEFI своих устройств. При этом Lenovo исправила только две уязвимости из трех.
ESET заявила, что уязвимости, обозначенные как CVE-2022-3430, CVE-2022-3431 и CVE-2022-3432 позволяют отключить безопасную загрузку UEFI или откатить базы данных безопасной загрузки к заводскому состоянию непосредственно из операционной системы. Отключение или восстановление значений баз данных по умолчанию позволяет злоумышленнику снять ограничения, которые обычно действуют.
Обнаруженные уязвимости можно использовать, изменяя переменные в энергонезависимой памяти NVRAM, в которой хранятся различные параметры загрузки. Уязвимости являются результатом того, что Lenovo по ошибке поставляет ноутбуки с драйверами, предназначенными для использования только в процессе производства. Более подробная характеристика каждой из уязвимостей:
- CVE-2022-3430: Потенциальная уязвимость в драйвере настройки WMI на некоторых потребительских ноутбуках Lenovo может позволить злоумышленнику с повышенными привилегиями изменить параметры безопасной загрузки, изменив переменную NVRAM.
- CVE-2022-3431: Потенциальная уязвимость в драйвере, используемом в процессе производства на некоторых потребительских ноутбуках Lenovo, который по ошибке не был деактивирован, может позволить злоумышленнику с повышенными привилегиями изменить параметр безопасной загрузки, изменив переменную NVRAM.
- CVE-2022-3432: Потенциальная уязвимость в драйвере, использованном в процессе производства ноутбука Ideapad Y700-14ISK, который по ошибке не был деактивирован, может позволить злоумышленнику с повышенными привилегиями изменить параметр безопасной загрузки, изменив переменную NVRAM.
Lenovo исправила только первые две уязвимости. Проблема CVE-2022-3432 не будет исправлена, так как компания уже несколько лет не поддерживает модель ноутбука Ideapad Y700-14ISK.
Источник: Ars Technica