Come fa un UEFI senza patch (Unified Extensible Firmware Interface) Una vulnerabilità nel suono firmware Lenovo ThinkPad? Questo è esattamente il tipo di vulnerabilità di sicurezza indipendente ricercatore Dmytro Oleksiuk di recente “inciampato su” - uno zero-day che esiste non solo in Lenovo ma anche in prodotti di altri vendor come HP e Gigabyte Technology.
Il codice exploit, denominato ThinkPwn dal ricercatore, funziona sul livello del guscio UEFI cui è possibile accedere al momento dell'avvio. Inoltre, il codice può anche essere modificato per funzionare a livello di sistema operativo, che è simile a quello che gli operatori di malware di solito.
Correlata: Firmware Scan Aggiunto a VirusTotal
UEFI zero-day di Lenovo / ThinkPwn vulnerabilità Explained
La vulnerabilità deriva dal codice sorgente di SMM (System Management Mode) che può essere trovato in pacchetti firmware UEFI. Oleksiuk ha creato con successo un codice di exploit, ThinkPwn, che compromette la vulnerabilità e disabilita UEFI protezioni di scrittura. Il risultato? Il firmware del dispositivo è alterato.
Le cose si fanno molto gravi come il ricercatore potrebbe anche disabilitare facilmente l'opzione Secure Boot di Windows. Il commercializzato come il più sicuro sistema operativo Windows mai, Windows 10, è anche sfruttato come le sue impostazioni di sicurezza built-in (Guardia dispositivo) può essere disabilitata, troppo.
Secondo il ricercatore, la questione in computer portatili Lenovo ThinkPad può anche risiedere in altri OEM, troppo. Alcune delle macchine di HP sono anche creduto di essere incline a l'exploit.
Che cosa fa Lenovo dire circa la vulnerabilità UEFI / ThinkPwn?
Oleksiuk effettivamente rilasciato le informazioni circa l'exploit senza prima notificare Lenovo. Secondo Lenovo, il problema non risiede nel codice UEFI aggiunto dai propri tecnici, ma in cima al codice di IBV fornito da Intel.
Questo fa parte della dichiarazione della società, che contraddice un po 'scoperte del ricercatore:
Sicurezza dei prodotti Incident Response Team di Lenovo (PSIRT) è pienamente consapevole della divulgazione non coordinata da parte di un ricercatore indipendente di una vulnerabilità BIOS situato nel System Management Mode (SMM) Il codice che gli impatti determinati dispositivi PC Lenovo. Poco dopo il ricercatore ha dichiarato nel corso di social media che avrebbe rivelare una vulnerabilità a livello di BIOS in prodotti Lenovo, Lenovo PSIRT fatto diversi tentativi infruttuosi di collaborare con il ricercatore prima della sua pubblicazione di queste informazioni.
Il pacchetto di codice con la vulnerabilità SMM è stata sviluppata sulla cima di una base di codice comune prevista al IBV da Intel. È importante sottolineare che, perché Lenovo non ha sviluppato il codice SMM vulnerabili ed è ancora in fase di determinare l'identità dell'autore originale, non conosce il suo scopo originariamente destinato.