ESET חשפה פרצת אבטחה במחשבים ניידים של לנובו

חברת אבטחת המידע ESET איתרה באחרונה חולשות במחשבים הניידים של חברת לנובו (Lenovo), המאפשרות לתוקפים לשלוח ולהפעיל בהצלחה נוזקות UEFI, דוגמת LoJax ו-ESPecter. לנובו מכרה הכי הרבה מחשבים האישיים בישראל בשנת 2021.

UEFI היא קושחה שנמצאת בשבב בלוח האם במחשב, אשר מטרתה לקשר בין החומרה (המחשב הפיזי) לבין התוכנה (מערכת ההפעלה). מדובר במערכת שעולה לפני עליית מערכת ההפעלה, ובה ניתן לבצע הגדרות שונות על המחשב. באמצעות המערכת נבדקים רכיבי המחשב, על מנת לוודא שהם תקינים והמחשב יכול להמשיך בהעלאת מערכת ההפעלה.

ESET דיווחה לחברת לנובו באוקטובר 2021 על כל החולשות שהתגלו. רשימת המחשבים החשופים לחולשה מונה יותר מ-100 דגמים שונים, אשר נמצאים בשימוש של מיליוני בני אדם בכל רחבי העולם.

"איומי UEFI יכולים לחמוק מגילוי בקלות והינם מסוכנים מאוד. הם מופעלים בשלב מוקדם של תהליך ההפעלה, לפני שהשליטה מועברת למערכת ההפעלה, מה שאומר שהם יכולים לעקוף את הרוב המוחלט של אמצעי ההגנה שפועלים בשלב מאוחר יותר ויכלו למנוע את הרצת המטען הזדוני שלהם", אמר חוקר ESET, מרטין סמולאר, שגילה את החולשות. "הדלתות האחוריות 'הבטוחות' שגילינו ב-UEFI מראות שבמקרים מסוימים שליחת איומי UEFI קלה יותר מהמצופה, והכמות ההולכת וגדלה של איומי UEFI אותנטיים שהתגלו בשנים האחרונות מראה שגם עברייני הסייבר מודעים לכך", הוא הוסיף.

לדברי סמולאר, שתי החולשות הראשונות – CVE-2021-3970 ו-CVE-2021-3971 – נקראות דלתות אחוריות 'בטוחות', שמובנות בקושחת ה-UEFI. זהו למעשה השם שלנובו בחרה לתת לדרייברים מתוצרתה, שמנצלים את אחת החולשות האלה. ניתן להפעיל את הדלתות האחוריות המובנות הללו כדי לכבות הגנות על הפלאש SPI (ביטים של BIOS Control Register ורישומי Protection Range) או את אפשרות UEFI Secure Boot, באמצעות תהליך המופעל על ידי משתמש בעל הרשאות גבוהות במהלך זמן ההרצה של מערכת ההפעלה.

חשפה את החולשה. ESET.

עדכונים יפתרו את עיקר הבעיה

בנוסף אמר סמולאר כי "בזמן שחקרנו את קבצי ההפעלה של אותן דלתות אחוריות 'בטוחות', גילינו חולשה נוספת – פגם בזיכרון ה-SMM בתוך הפונקציה המנהלת את ה-SW SMI (ששמה CVE-2021-3972). החולשה הזאת מאפשרת קריאה וכתיבה מה-SMRAM ואליו באופן שרירותי, מה שעשוי להוביל להרצת קוד זדוני בהרשאות SMM ולשליחת SPI flash implant (נוזקה לתוך השבב בלוח אם)".

שירותי ההפעלה וזמן הריצה של ה-UEFI, הסביר, הם אלו המאפשרים את הפונקציות ומבני הנתונים הבסיסיים שנחוצים לפעילות של דרייברים ותוכנות, כמו התקנת פרוטוקולים, איתור פרוטוקולים קיימים, הקצאת זיכרון, ביצוע שינויים במשתני UEFI וכודומה. אפליקציות ודרייברים שפועלים בשלב הפעלת ה-UEFI משתמשים בפרוטוקולים בחלק ניכר מפעולותיהם. משתני UEFI הם מנגנון אחסון מיוחד של הקושחה שמשמש מודולי UEFI כדי לאחסן נתוני הגדרות שונים, ביניהם הגדרת תהליך ההפעלה.

לעומת זאת, SMM הוא מצב הפעלה בעל הרשאות גבוהות במיוחד במעבדי x86. הקוד שלו כתוב כחלק מההקשר של קושחת המערכת והוא משמש בדרך כלל למשימות שונות כמו ניהול חשמל מתקדם, הפעלה של קוד OEM קנייני ועדכונים בטוחים של הקושחה.

"כל איומי ה-UEFI האותנטיים שהתגלו בשנים האחרונות – LoJax, MosaicRegressor, MoonBounce, ESPector ו-FinSpy – נדרשו לעקוף או לכבות את מנגנוני האבטחה באופן מסוים, כדי שניתן יהיה לשלוח ולהפעיל אותם", הרחיב סמולאר.

ESET מסרה כי היא ממליצה בחום לכל מחזיקי המחשבים הניידים מבית לנובו לעבור על רשימת המחשבים שמושפעים מהחולשה ולעדכן את הקושחה שלהם לפי הנחיות היצרן.

למשתמשים המחזיקים במכשירים שאינם נתמכים יותר על ידי לנובו ובהם התגלתה פרצת UEFI (CVE-2021-3970) שעבורה אין עדכון או תיקון: אחת הדרכים שתסייע להתגונן מפני שינוי לא-רצוי של מצב UEFI Secure Boot היא להשתמש בפתרון להצפנה מלאה של הכונן באמצעות  TPM (רכיב המשמש לאימות ונמצא בלוח אם ברוב המחשבים המודרניים), שמאפשרת לחסום את הגישה למידע בכונן אם הגדרת UEFI Secure Boot משתנה.

מלנובו נמסר, כי "לנובו מודה ל-ESET על שהביאה לתשומת ליבנו סוגיה בדרייברים המשמשים בייצור כמה מדגמי הקונסיומר שלנו. הדרייברים תוקנו, ולקוחות המבצעים עדכון כפי שמפורט ב-Lenovo advisory מוגנים. אנחנו בלנובו מברכים כל שיתוף פעולה עם חוקרי BIOS, כשבמקביל אנחנו מרחיבים את השקעותינו באבטחת BIOS כדי להבטיח שהמוצרים שלנו ימשיכו לעמוד ולהתעלות על תקני התעשייה".