حذر باحثون الأربعاء من أن أكثر من عشرين طرازًا من طرازات أجهزة الكمبيوتر المحمولة من Lenovo معرضة للاختراقات الضارة التي تعمل على تعطيل عملية التمهيد الآمن UEFI ثم تشغيل تطبيقات UEFI غير الموقعة أو تحميل برامج تحميل التشغيل التي تعمل خلف الجهاز بشكل دائم.
في نفس الوقت باحثون من شركة الأمن ESET كشفت الآثارصانع الكمبيوتر المحمول تم إصدار تحديثات الأمان لـ 25 طرازًا بما في ذلك ThinkPads و Yoga Slims و IdeaPads. يمكن أن تكون الثغرات الأمنية التي تقوض التمهيد الآمن لـ UEFI خطيرة لأنها تتيح للمهاجمين إنشاء برامج ثابتة ضارة يمكنها الصمود في وجه عمليات إعادة تثبيت نظام التشغيل المتعددة.
ليست شائعة ، بل نادرة
اختصار لـ Unified Extensible Firmware Interface ، UEFI هو برنامج يربط البرامج الثابتة لجهاز الكمبيوتر بنظام التشغيل الخاص به. عند تشغيل أي آلة حديثة ، فإنها تكون الحلقة الأولى في سلسلة الأمان. نظرًا لأن UEFI موجود على شريحة الفلاش الموجودة على اللوحة الأم ، فمن الصعب اكتشاف العدوى وإزالتها. لن يكون للإجراءات الروتينية مثل مسح القرص الصلب وإعادة تثبيت نظام التشغيل تأثير ملموس ، لأن عدوى UEFI ستعيد إصابة النظام لاحقًا.
الثغرات الأمنية ، التي تتبعها ESET مثل CVE-2022-3430 و CVE-2022-3431 و CVE-2022-3432 ، “تسمح لـ UEFI بتعطيل التمهيد الآمن أو استعادة قواعد بيانات التمهيد الآمن الافتراضية للمصنع: من dbx إلى الكل.” آليات التمهيد الآمن السماح ورفض قواعد البيانات. الاستخدامات. قاعدة بيانات DBX ، على وجه الخصوص ، تخزن تجزئة التشفير للمفاتيح المرفوضة. يؤدي تعطيل أو إعادة تعيين القيم الافتراضية في قواعد البيانات إلى تمكين المهاجم من إزالة عناصر التحكم الموجودة عادة.
قال باحث متخصص في أمن البرامج الثابتة ، طلب عدم ذكر اسمه ، في مقابلة: “تغيير الأشياء من نظام التشغيل إلى البرامج الثابتة ليس شائعًا ، بل نادرًا”. “بالنسبة لمعظم الأشخاص ، لتغيير الإعدادات في البرامج الثابتة أو BIOS ، فهذا يعني أنه يجب أن يكون لديك وصول مادي لكسر زر DEL عند التمهيد للوصول إلى النظام والقيام بأشياء هناك. عندما يمكنك القيام بأشياء معينة من نظام التشغيل ، فهذا صفقة كبيرة.
يؤدي تعطيل UEFI Secure Boot إلى تحرير المهاجمين من تنفيذ تطبيقات UEFI الضارة ، وهو أمر مستحيل عادةً لأنه يجب توقيع تطبيقات UEFI بشكل مشفر للتمهيد الآمن. وفي الوقت نفسه ، تتيح استعادة DBX الافتراضي للمصنع للمهاجمين تحميل محمل الإقلاع الضعيف. في أغسطس ، باحثون من شركة الأمن Eclypsium حددت ثلاثة برامج تشغيل رئيسية يمكن استخدام هذا لتجاوز التمهيد الآمن عندما يمتلك المهاجم امتيازات مرتفعة ، مثل المسؤول على Windows أو الجذر على Linux.
يمكن استغلال الثغرات الأمنية عن طريق العبث بالمتغيرات في ذاكرة الوصول العشوائي غير المتطايرة ، NVRAM ، التي تخزن خيارات التمهيد المختلفة. الثغرات الأمنية ناتجة عن قيام Lenovo بشحن أجهزة الكمبيوتر المحمولة عن طريق الخطأ مع برامج تشغيل تُستخدم فقط أثناء عملية التصنيع. تأثيرات:
- CVE-2022-3430: قد تسمح إحدى الثغرات الأمنية في برنامج تشغيل إعداد WMI على بعض أجهزة Lenovo المحمولة الاستهلاكية لمهاجم ذي امتيازات عالية بتعديل إعدادات التمهيد الآمن عن طريق تغيير متغير NVRAM.
- CVE-2022-3431: قد تسمح إحدى الثغرات الأمنية المحتملة في برنامج التشغيل المستخدم أثناء عملية التصنيع على بعض أجهزة Lenovo المحمولة المحمولة التي لا تفشل افتراضيًا لمهاجم ذي امتيازات مرتفعة بتعديل نظام التمهيد الآمن عن طريق تغيير متغير NVRAM.
- CVE-2022-3432: قد تسمح الثغرة الأمنية المحتملة في برنامج التشغيل المستخدم أثناء عملية الإنتاج في IdeaPad Y700-14ISK التي لم يتم تعطيلها عن طريق الخطأ لمهاجم لديه امتيازات مرتفعة بتعديل نظام التمهيد الآمن عن طريق تعديل متغير NVRAM.
تجمع Lenovo بين الأولين فقط. لن يتم تصحيح CVE-2022-3432 لأن الشركة لم تعد تدعم Ideapad Y700-14ISK ، طراز الكمبيوتر المحمول المتأثر بنهاية العمر. يجب على الأشخاص الذين يستخدمون نماذج أخرى ضعيفة تثبيت التصحيحات في أسرع وقت ممكن.