Hoe werkt een ongepatchte UEFI (Unified Extensible Firmware Interface) kwetsbaarheid in Lenovo ThinkPad firmware geluid? Dit is precies het soort kwetsbaarheid onafhankelijke security-onderzoeker Dmytro Oleksiuk onlangs “stootten” – een zero-day die niet alleen bestaat in Lenovo maar ook in producten van andere leveranciers zoals HP en Gigabyte Technology.
De exploitcode, door de onderzoeker aangeduid als ThinkPwn, functies op het niveau van de UEFI-shell die tijdens het opstarten toegankelijk zijn. Bovendien, de code kan zelfs worden gewijzigd om op OS-niveau te worden uitgevoerd, wat vergelijkbaar is met wat malware-operators gewoonlijk doen.
Verwant: Firmwarescan toegevoegd aan VirusTotal
Lenovo's UEFI Zero-day/ ThinkPwn-kwetsbaarheid verklaard
De kwetsbaarheid komt voort uit de broncode van SMM (Systeembeheermodus) die te vinden is in UEFI-firmwarepakketten. Oleksiuk heeft met succes een exploitcode gemaakt, ThinkPwn, dat de kwetsbaarheid in gevaar brengt en UEFI-schrijfbeveiligingen uitschakelt. Het resultaat? De firmware van het apparaat is gewijzigd.
Dingen worden behoorlijk serieus omdat de onderzoeker ook gemakkelijk de Secure Boot-optie in Windows kan uitschakelen. Het wordt op de markt gebracht als het veiligste Windows-besturingssysteem ooit, Windows 10, wordt ook gebruikt als ingebouwde beveiligingsinstellingen (Apparaat Guard) kan worden uitgeschakeld, ook.
Volgens de onderzoeker, het probleem in Lenovo ThinkPad-laptops kan ook bij andere OEM's voorkomen, ook. Er wordt ook aangenomen dat sommige van HP's machines vatbaar zijn voor misbruik.
Wat zegt Lenovo over het UEFI/ ThinkPwn-beveiligingslek??
Oleksiuk heeft de informatie over de exploit vrijgegeven zonder Lenovo eerst op de hoogte te stellen. Volgens Lenovo, het probleem zit niet in de UEFI-code die door de technici is toegevoegd, maar bovenop de IBV-code van Intel.
Dit maakt deel uit van de verklaring van het bedrijf, wat enigszins in tegenspraak is met de bevindingen van de onderzoeker:
Lenovo's Product Security Incident Response Team (PSIRT) is volledig op de hoogte van de ongecoördineerde onthulling door een onafhankelijke onderzoeker van een BIOS-kwetsbaarheid in de systeembeheermodus (SMM) code die van invloed is op bepaalde Lenovo pc-apparaten. Kort nadat de onderzoeker via sociale media verklaarde dat hij een kwetsbaarheid op BIOS-niveau in Lenovo-producten zou onthullen, Lenovo PSIRT heeft verschillende mislukte pogingen gedaan om samen te werken met de onderzoeker voorafgaand aan zijn publicatie van deze informatie.
Het codepakket met de SMM-kwetsbaarheid is ontwikkeld bovenop een gemeenschappelijke codebasis die door Intel aan de IBV is geleverd. Belangrijk, omdat Lenovo de kwetsbare SMM-code niet heeft ontwikkeld en nog bezig is de identiteit van de oorspronkelijke auteur te bepalen, het kent zijn oorspronkelijk beoogde doel niet.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: