Forskare upptĂ€cker en “smyg” sĂ„rbarhet i Lenovos firmware som pĂ„verkar miljontals bĂ€rbara datorer

Forskare upptÀcker en


Idag meddelade ESET att en av dess forskare hade upptÀckt ett antal sÄrbarheter i Lenovos bÀrbara datorer för konsumenter, som pÄverkar över hundra olika modeller och miljontals anvÀndare över hela vÀrlden.

Enligt Martin SmolĂĄr, skadlig programanalytiker pĂ„ ESET som identifierade sĂ„rbarheterna, kan CVE-2021-3970, CVE-2021-3971 och CVE-2021-3972 göra det möjligt för angripare “att inaktivera sĂ€kerhetsmekanismer och installera sin UEFI-skadlig programvara pĂ„ systemen.”

I sjÀlva verket kommer detta att göra det möjligt för en angripare att distribuera UEFI-baserad skadlig programvara som LoJax och ESpecter.

“UEFI-hot kan vara extremt smygande och farliga. De exekveras tidigt i uppstartsprocessen, innan de överför kontrollen till operativsystemet, vilket innebĂ€r att de kan kringgĂ„ nĂ€stan alla sĂ€kerhetsĂ„tgĂ€rder och begrĂ€nsningar högre upp i stacken som kan förhindra att deras operativsystems nyttolaster exekveras, sĂ€ger SmolĂĄr.

Även om sĂ„rbarheterna bara pĂ„verkar Lenovos bĂ€rbara datorer för konsumenter, med fler organisationer som anammar distansarbete efter covid-19-pandemin, anvĂ€nder mĂ„nga anstĂ€llda konsumentenheter för att arbeta hemifrĂ„n. Faktum Ă€r att forskning visar att 49 % av de anstĂ€llda fortfarande anvĂ€nder persondatorer i arbetet.

Som ett resultat kan Lenovos sÄrbarheter som upptÀckts idag anvÀndas för att fÄ tillgÄng till en anstÀllds personliga enhet, som en angripare kan anvÀnda för att samla in skyddad data eller till och med arbeta för att bryta sig in i andra enheter i nÀtverket.

Hur illa Àr UEFI-skadlig programvara?

Under de senaste Ären har det förekommit ett antal högprofilerade attacker som har involverat UEFI-hot, senast i slutet av förra Äret, nÀr Kaspersky SecureList upptÀckte en UEFI-kompromiss pÄ firmware-nivÄ i loggarna för sin Firmware Scanner.

I det hÀr fallet introducerade hackarna en infektionskedja till exekveringsflödet av maskinens startsekvens för att Àventyra skannern.

PÄ en hög nivÄ Àr det som gör UEFI skadlig programvara hotande att nÀr en angripare infekterar en dators UEFI kan de ta kontroll över enheten och komma Ät alla filer som lagras pÄ den, efter behag. Samtidigt tas inte skadlig programvara bort Àven om anvÀndaren installerar om operativsystemet eller byter ut hÄrddisken.

Även om organisationer inte bör ignorera Lenovos firmware-sĂ„rbarhet, betonar Gartner-analytikern Peter Firstbrook att risken med dessa senaste Lenovo-sĂ„rbarheter Ă€r minimal, pĂ„ grund av hur komplexa de Ă€r att utnyttja.

“Den omedelbara risken Ă€r lĂ„g. Dessa Ă€r svĂ„ra sĂ„rbarheter att utnyttja, vissa krĂ€ver privilegierad Ă„tkomst och bra Endpoint-skyddslösningar bör upptĂ€cka den aktivitet som krĂ€vs för att utnyttja CVE:erna. Men för konsumenter som inte patchar och inte har beteendemĂ€ssigt endpoint-skydd, kan detta vara ett stort lĂ„nglivat problem, sĂ€ger Firstbrook.

“Firmware-implantat Ă€r svĂ„ra att upptĂ€cka med standard antivirusprogram. PĂ„ lĂ„ng sikt Ă€r de flesta organisationer inte förberedda pĂ„ sĂ„rbarhetsdetektering och patchning av firmware, sĂ€ger Firstbrook.

Vad företag kan göra för att ÄtgÀrda de nyfunna Lenovo-sÄrbarheterna

Det enda sÀttet att ÄtgÀrda dessa nya sÄrbarheter Àr att uppdatera den bÀrbara datorns firmware. Lenovo har slÀppt en lista över alla berörda enheter, tillsammans med instruktioner om hur man uppdaterar dem, sÄ att anvÀndare kan söka efter produkter efter namn eller maskintyp och distribuera manuella uppdateringar av de berörda komponenterna.

Även om detta Ă€r en enkel process, i fjĂ€rrarbetsmiljöer dĂ€r anstĂ€llda anvĂ€nder personliga Lenovo-enheter Ă€r saker och ting svĂ„rare, eftersom sĂ€kerhetsteam mĂ„ste förlita sig pĂ„ anstĂ€llda för att distribuera uppdateringarna.

Det enklaste sÀttet att uppmuntra anstÀllda att distribuera uppdateringarna Àr att skicka ett e-postmeddelande till personalen om riskerna som dessa sÄrbarheter innebÀr för deras personliga information och det bredare företaget, tillsammans med listan över berörda enheter som slÀppts av Lenovo.

VentureBeats uppdrag ska vara ett digitalt stadstorg för tekniska beslutsfattare att fÄ kunskap om transformativ företagsteknologi och handla. LÀs mer om medlemskap.