Como faz um UEFI sem correção (Unified Extensible Firmware Interface) vulnerabilidade no som firmware Lenovo ThinkPad? Este é exatamente o tipo de pesquisador vulnerabilidade de segurança independente Dmytro Oleksiuk recentemente “tropeçou em” - um dia zero que não existe apenas em Lenovo mas também em produtos de outros fornecedores, como HP e Gigabyte Technology.
O código de exploração, referido como ThinkPwn pelo pesquisador, funções no nível do shell UEFI que podem ser acessadas no momento da inicialização. além disso, o código pode até ser alterado para ser executado no nível do sistema operacional, que é semelhante ao que os operadores de malware costumam fazer.
relacionado: Verificação de firmware adicionada ao VirusTotal
Vulnerabilidade de UEFI Zero-day / ThinkPwn da Lenovo explicada
A vulnerabilidade decorre do código-fonte do SMM (Modo de gerenciamento do sistema) que pode ser encontrado em pacotes de firmware UEFI. Oleksiuk criou com sucesso um código de exploração, ThinkPwn, que compromete a vulnerabilidade e desativa proteções contra gravação UEFI. O resultado? O firmware do dispositivo é alterado.
As coisas ficam muito sérias porque o pesquisador também pode desabilitar facilmente a opção Secure Boot no Windows. Comercializado como o sistema operacional Windows mais seguro de todos os tempos, janelas 10, também é aproveitado como suas configurações de segurança integradas (Device Guard) pode ser desabilitado, também.
Segundo o pesquisador, o problema em laptops Lenovo ThinkPad também pode residir em outros OEMs, também. Acredita-se que algumas das máquinas da HP também sejam propensas à exploração.
O que a Lenovo diz sobre a vulnerabilidade UEFI / ThinkPwn?
Oleksiuk realmente divulgou as informações sobre a exploração sem primeiro notificar a Lenovo. De acordo com a Lenovo, o problema não reside no código UEFI adicionado por seus engenheiros, mas além do código IBV fornecido pela Intel.
Isso faz parte da declaração da empresa, o que contradiz um pouco as descobertas do pesquisador:
Equipe de resposta a incidentes de segurança de produtos da Lenovo (PSIRT) está totalmente ciente da divulgação não coordenada por um pesquisador independente de uma vulnerabilidade do BIOS localizada no Modo de Gerenciamento do Sistema (SMM) código que afeta determinados dispositivos de PC Lenovo. Pouco depois, o pesquisador declarou nas redes sociais que revelaria uma vulnerabilidade no nível do BIOS nos produtos Lenovo, Lenovo PSIRT fez várias tentativas sem sucesso de colaborar com o pesquisador antes da publicação desta informação.
O pacote de código com a vulnerabilidade SMM foi desenvolvido em cima de uma base de código comum fornecida ao IBV pela Intel. Importante, porque a Lenovo não desenvolveu o código SMM vulnerável e ainda está em processo de determinação da identidade do autor original, ele não conhece sua finalidade original.