in

Lenovo ha lasciato backdoor in milioni di laptop

Questa è una panoramica piuttosto negativa. I ricercatori di sicurezza di Eset hanno appena rivelato la presenza di backdoor in più di cento modelli di laptop consumer Lenovo. Tra le gamme interessate ci sono IdeaPad, Legion, Slim e Yoga. In totale, il numero di dispositivi interessati deve essere di milioni. Ovviamente non era uno sporco trucco. Implementate sotto forma di driver UEFI, le backdoor sono state chiamate “SecureBackDoor”, “SecureBackDoorPeim”, “ChgBootDxeHook” o “ChgBootSmm”, il che è abbastanza ovvio e quindi non molto discreto!

Secondo l’avviso di sicurezza di Lenovo, queste backdoor sono state utilizzate durante il processo di produzione del laptop per motivi pratici. Sfortunatamente, Lenovo ha dimenticato di rimuoverli. I ricercatori di Eset hanno dimostrato che consentono due tipi di azioni. Con “SecureBackDoor” e “SecureBackDoorPeim” è stato possibile disabilitare le protezioni in scrittura della memoria Flash SPI su cui è memorizzato l’UEFI e quindi modificare il codice (CVE-2021-3971). “ChgBootDxeHook” e “ChgBootSmm” consentono a un hacker di bypassare UEFI Secure Boot, un meccanismo che aiuta a garantire l’autenticità e l’integrità del firmware di avvio (CVE-2021-3972).

Guarda anche il video:

Analizzando questi driver, i ricercatori hanno scoperto un terzo difetto (CVE-2021-3970) che consentiva l’accesso alla memoria SMRAM e la modifica del codice eseguita sotto la “Modalità di gestione del sistema”. Questa è una modalità molto sicura per cose come la gestione di funzioni di alimentazione avanzate, l’esecuzione di funzioni OEM personalizzate o l’esecuzione di aggiornamenti del firmware. Il bug in questione rendeva possibile l’installazione di malware direttamente nella SPI Flash, se necessario.

Per essere sfruttate, tutte queste vulnerabilità richiedono privilegi amministrativi, il che è positivo. Ma ne vale la pena perché “Infettare UEFI è una specie di Santo Graal nell’hacking informatico”, spiega Benoît Grunemwald, esperto di sicurezza informatica di Eset. Il malware annidato in UEFI è particolarmente persistente. Rimane anche se reinstalliamo il sistema operativo o se sostituiamo il disco rigido.

Questo tipo di malware viene solitamente utilizzato per attacchi mirati. Nel 2018, i ricercatori Eset sono stati i primi a scoprire una copia del malware UEFI. Chiamato LoJax, è stato il lavoro del gruppo di hacker russi APT28.

Patch disponibili dallo scorso novembre

Per quanto riguarda i difetti riscontrati nei laptop Lenovo, nessuno sa se siano stati effettivamente utilizzati dagli hacker. Ma dal momento che non erano molto difficili da trovare, è probabile che altri hacker sapessero della loro esistenza. Lenovo è stata avvertita da Eset nell’ottobre 2021 e ha confermato il problema il mese successivo. È ora disponibile una patch per tutti i modelli ancora supportati. Per proteggersi dall’errore CVE-2021-3972, è anche possibile crittografare l’unità utilizzando il TPM, che “rendere i dati inaccessibili se la configurazione di UEFI Secure Boot cambia”come chiarisce il post sul blog di Eset.

Fonte :Eset

What do you think?

Leave a Reply

Your email address will not be published. Required fields are marked *

GIPHY App Key not set. Please check settings

Avviso informativo, questa nuova truffa su “Leboncoin” sta devastando la Francia

Avviso informativo, questa nuova truffa su “Leboncoin” sta devastando la Francia

Villefranche-de-Rouergue: tentano la fortuna per recitare in una serie Netflix

Villefranche-de-Rouergue: tentano la fortuna per recitare in una serie Netflix