أصدرت Lenovo تحديثات أمنية لأكثر من 100 طراز من أجهزة الكمبيوتر المحمول لمعالجة نقاط الضعف الحرجة التي تسمح للقراصنة المتقدمين بتثبيت البرامج الثابتة الخبيثة خلسة والتي قد يكون من المستحيل إزالتها أو اكتشافها في بعض الحالات.
يمكن لثلاث نقاط ضعف تؤثر على أكثر من مليون جهاز كمبيوتر محمول أن تمنح المتسللين القدرة على تعديل UEFI للكمبيوتر. باختصار ل الواجهة الموحدة للبرمجيات الممتدةUEFI هو البرنامج الذي يربط البرامج الثابتة لجهاز الكمبيوتر بنظام التشغيل الخاص به. كأول برنامج يتم تشغيله عند تشغيل أي جهاز حديث تقريبًا ، فهو الرابط الأول في سلسلة الأمان. نظرًا لأن UEFI موجود في شريحة فلاش على اللوحة الأم ، فمن الصعب اكتشاف العدوى بل ويصعب إزالتها.
آه لا
توجد اثنتان من الثغرات الأمنية ، التي تم تحديدها على أنها CVE-2021-3971 و CVE-2021-3972 ، في برامج تشغيل البرامج الثابتة UEFI المخصصة للاستخدام فقط أثناء عملية تصنيع أجهزة الكمبيوتر المحمولة للمستهلكين من Lenovo. قام مهندسو Lenovo عن غير قصد بتضمين برامج التشغيل في صور BIOS الإنتاجية دون تعطيلها بشكل صحيح. يمكن للقراصنة استغلال برامج تشغيل عربات التي تجرها الدواب لتعطيل الحماية ، بما في ذلك التمهيد الآمن لـ UEFI ، وبتات تسجيل التحكم في BIOS ، وسجل النطاق المحمي ، المضمنة في واجهة طرفية تسلسلية (SPI) ومصممة لمنع التعديلات غير المصرح بها على البرامج الثابتة التي يتم تشغيلها.
بعد اكتشاف الثغرات الأمنية وتحليلها ، اكتشف باحثون من شركة الأمان ESET ثغرة ثالثة ، CVE-2021-3970. يسمح للقراصنة بتنفيذ البرامج الثابتة الضارة عندما يتم وضع الجهاز في وضع إدارة النظام ، وهو وضع تشغيل عالي الامتياز تستخدمه عادةً الشركات المصنعة للأجهزة لإدارة النظام منخفضة المستوى.
قال Ars Trammel Hudson ، الباحث الأمني المتخصص في اختراق البرامج الثابتة ، لـ Ars Trammel Hudson: “استنادًا إلى الوصف ، فهذه كلها نوع من الهجمات” أوه لا “الجميلة للمهاجمين المتقدمين بما فيه الكفاية”. “يعد تجاوز أذونات فلاش SPI أمرًا سيئًا بدرجة كافية.”
وقال إنه يمكن التخفيف من حدة الخطورة عن طريق الحماية مثل BootGuard ، المصمم لمنع الأشخاص غير المصرح لهم من تشغيل البرامج الثابتة الضارة أثناء عملية التمهيد. مرة أخرى ، اكتشف باحثون سابقون نقاط ضعف حرجة تعمل على تخريب BootGuard. يشملوا أ ثلاثي العيوب اكتشفه Hudson في عام 2020 والذي منع الحماية من العمل عند استئناف تشغيل الكمبيوتر من وضع السكون.
انزلق إلى التيار الرئيسي
على الرغم من ندرة حدوثها ، إلا أن ما يسمى بغرسات SPI أصبحت أكثر شيوعًا. بدأ أحد أكبر التهديدات على الإنترنت – البرامج الضارة المعروفة باسم Trickbot – في عام 2020 لتضمين برنامج تشغيل في قاعدة التعليمات البرمجية الخاصة به والتي تتيح للمستخدمين كتابة البرامج الثابتة إلى أي جهاز تقريبًا. الحالتان الوحيدتان الموثقتان الأخريان للبرامج الثابتة UEFI الخبيثة المستخدمة في البرية هي لوجاكسالتي كتبتها مجموعة قراصنة الدولة الروسية المعروفة بأسماء عديدة بما في ذلك Sednit أو Fancy Bear أو APT 28. والمثال الثاني هو البرامج الضارة UEFI التي تستخدمها شركة الأمان اكتشف كاسبيرسكي على حواسيب الشخصيات الدبلوماسية في آسيا.
تتطلب ثغرات Lenovo الثلاثة التي اكتشفتها ESET وصولاً محليًا ، مما يعني أن المهاجم يجب أن يتحكم بالفعل في الجهاز الضعيف بامتيازات غير محدودة. إن العائق أمام هذا النوع من الوصول مرتفع وقد يتطلب على الأرجح استغلال واحد أو أكثر من الثغرات الحرجة الأخرى في مكان آخر والتي من شأنها أن تعرض المستخدم بالفعل لخطر كبير.
ومع ذلك ، لا تزال الثغرات الأمنية خطيرة لأنها يمكن أن تصيب أجهزة الكمبيوتر المحمولة الضعيفة ببرامج ضارة تتجاوز بكثير ما هو ممكن عادة مع المزيد من البرامج الضارة التقليدية. لدى Lenovo قائمة هنا من أكثر من 100 نموذج معني.