Společnost Lenovo vydala bezpečnostní aktualizaci pro více než 100 modelů notebooků, který opravuje kritické zranitelnosti. Byly zjištěny celkem tři bezpečnostní chyby, které umožňují hackerům skrytě nainstalovat škodlivý firmware, který je téměř nemožné odstranit nebo v některých případech odhalit.
Tři zranitelnosti, které se týkají více než 1 milionu notebooků, mohou hackerům umožnit upravit UEFI počítače. UEFI je zkratka pro Unified Extensible Firmware Interface, což je software, který propojuje firmware zařízení počítače s jeho operačním systémem. Je to první část softwaru, která se spustí při zapnutí prakticky každého moderního počítače, a představuje tak počáteční článek bezpečnostního řetězce.
Všechny tři zranitelnosti byly objeveny výzkumníky společnosti ESET a zodpovědně nahlášeny společnosti Lenovo v říjnu loňského roku. Týkají se více než 100 modelů spotřebitelských notebooků, včetně IdeaPad 3, Legion 5 Pro-16ACH6 H a Yoga Slim 9-14ITL05. Zranitelnosti mají identifikátory CVE-2021-3970, CVE-2021-3971 a CVE-2021-3972.
Podle bezpečnostních výzkumníků umožňuje CVE-2021-3970 libovolné čtení/zápis do SMRAM (System Management Mode hardware protected memory), což může vést ke spuštění škodlivého kódu na vysoce privilegované úrovni.
Další dvě zranitelnosti si jsou hodně podobné. Nacházejí se v ovladačích firmwaru UEFI určených pouze pro použití během výrobního procesu. Inženýři společnosti Lenovo tyto ovladače nedopatřením zahrnuli i do ovladačů již vyrobených notebooků.
Díky těmto zranitelnostem by mohl útočník vypnout ochranu paměti flash UEFI nebo funkci UEFI Secure Boot. Útočníci by pak navíc mohli nasadit a úspěšně spustit škodlivý software. Ten by byl obtížně odhalen, protože by se načetl dříve než operační systém. Dokonce by nepomohla ani reinstalace operačního systému, která ve většině případech odstraní jakýkoliv marware.
Některé starší modely aktualizaci nedostanou
Všechny tři zranitelnosti Lenovo objevené společností ESET vyžadují lokální přístup, což znamená, že útočník již musí mít kontrolu nad zranitelným počítačem. Laťka pro takový přístup je vysoká a pravděpodobně by vyžadovala zneužití jedné nebo více jiných kritických zranitelností na jiném místě, které by již uživatele vystavily značnému riziku.
Přesto jsou tyto zranitelnosti závažné, protože mohou infikovat zranitelné notebooky malwarem, který jde daleko za hranice běžných možností běžného malwaru. Někteří lidé s postiženými notebooky bohužel záplatu nedostanou, protože některé modely jsou již příliš staré. Pokud se obáváte, že je váš notebook Lenovo zranitelný, můžete se podívat do obsáhlé tabulky zde.