Lenovo опубликовала информацию о ряде уязвимостей, присутствующих в системном программном обеспечении микросхемы UEFI (BIOS) по меньшей мере 100 моделей ноутбуков компании, пишет Bleeping Computer.
В общей сложности три проблемы безопасности такого рода было выявлено в портативных компьютерах китайского вендора. Уязвимости получили идентификаторы CVE-2021-3970, CVE-2021-3971 и CVE-2021-3972.
Две из них позволяют злоумышленнику отключить защиту чипа флеш-памяти SPI, которая несет прошивку UEFI, и деактивировать функцию безопасной загрузки (Secure Boot), позволяющую гарантировать загрузку исключительно того ПО, которому доверяет производитель оборудования. Наконец, последняя уязвимость дает возможной выполнение произвольного кода с повышенным уровнем привилегий при наличии у атакующего локального доступа к машине.
Уязвимости обнаружены специалистами словацкой компании Eset, которые уведомили Lenovo об их наличии в прошивках UEFI в октябре 2021 г. В числе моделей, подверженных данным проблемам безопасности, в частности, лаптопы IdeaPad 3, Legion 5 Pro-16ACH H и Yoga Slim 9-14ITL05. По оценке Bleeping Computer, бреши присутствуют в ПО нескольких миллионов устройств.
«Угрозы UEFI могут быть крайне труднообнаружимыми и опасными, – говорит исследователь Eset Мартин Смолар (Martin Smolár), выявивший проблемы. – Они выполняются в начале процесса загрузки, до передачи управления операционной системе, то есть способны обойти практически все меры безопасности, которые могли бы помешать выполнению вредоносной полезной нагрузки на уровне операционной системы».
Вину за уязвимости CVE-2021-3971 и CVE-2021-3972 Lenovo возлагает на специальные отладочные драйверы, которые попали в прошивки UEFI якобы случайно. Согласно описанию брешей, опубликованному на портале поддержки компании, драйверы имеют «говорящие» имена – SecureBackDoor и SecureBackDoorPeim соответственно. Другими словами, ПО UEFI подверженных проблеме содержит заводские бэкдоры, по заявлению Lenovo, задействованные в производственном процессе.
В Lenovo утверждают, что бэкдоры оказались в ПО по недосмотру, однако в 2013 г. от использования техники китайской компании отказались спецслужбы Великобритании и США, а ее высокопоставленный сотрудник в 2018 г. фактически признал готовность Lenovo оставлять бэкдоры в своей продукции по требованию властей.