Questa è una panoramica piuttosto negativa. I ricercatori di sicurezza di Eset hanno appena rivelato la presenza di backdoor in più di cento modelli di laptop consumer Lenovo. Tra le gamme interessate ci sono IdeaPad, Legion, Slim e Yoga. In totale, il numero di dispositivi interessati deve essere di milioni. Ovviamente non era uno sporco trucco. Implementate sotto forma di driver UEFI, le backdoor sono state chiamate “SecureBackDoor”, “SecureBackDoorPeim”, “ChgBootDxeHook” o “ChgBootSmm”, il che è abbastanza ovvio e quindi non molto discreto!
Secondo l’avviso di sicurezza di Lenovo, queste backdoor sono state utilizzate durante il processo di produzione del laptop per motivi pratici. Sfortunatamente, Lenovo ha dimenticato di rimuoverli. I ricercatori di Eset hanno dimostrato che consentono due tipi di azioni. Con “SecureBackDoor” e “SecureBackDoorPeim” è stato possibile disabilitare le protezioni in scrittura della memoria Flash SPI su cui è memorizzato l’UEFI e quindi modificare il codice (CVE-2021-3971). “ChgBootDxeHook” e “ChgBootSmm” consentono a un hacker di bypassare UEFI Secure Boot, un meccanismo che aiuta a garantire l’autenticità e l’integrità del firmware di avvio (CVE-2021-3972).
Guarda anche il video:
Analizzando questi driver, i ricercatori hanno scoperto un terzo difetto (CVE-2021-3970) che consentiva l’accesso alla memoria SMRAM e la modifica del codice eseguita sotto la “Modalità di gestione del sistema”. Questa è una modalità molto sicura per cose come la gestione di funzioni di alimentazione avanzate, l’esecuzione di funzioni OEM personalizzate o l’esecuzione di aggiornamenti del firmware. Il bug in questione rendeva possibile l’installazione di malware direttamente nella SPI Flash, se necessario.
Per essere sfruttate, tutte queste vulnerabilità richiedono privilegi amministrativi, il che è positivo. Ma ne vale la pena perché “Infettare UEFI è una specie di Santo Graal nell’hacking informatico”, spiega Benoît Grunemwald, esperto di sicurezza informatica di Eset. Il malware annidato in UEFI è particolarmente persistente. Rimane anche se reinstalliamo il sistema operativo o se sostituiamo il disco rigido.
Questo tipo di malware viene solitamente utilizzato per attacchi mirati. Nel 2018, i ricercatori Eset sono stati i primi a scoprire una copia del malware UEFI. Chiamato LoJax, è stato il lavoro del gruppo di hacker russi APT28.
Patch disponibili dallo scorso novembre
Per quanto riguarda i difetti riscontrati nei laptop Lenovo, nessuno sa se siano stati effettivamente utilizzati dagli hacker. Ma dal momento che non erano molto difficili da trovare, è probabile che altri hacker sapessero della loro esistenza. Lenovo è stata avvertita da Eset nell’ottobre 2021 e ha confermato il problema il mese successivo. È ora disponibile una patch per tutti i modelli ancora supportati. Per proteggersi dall’errore CVE-2021-3972, è anche possibile crittografare l’unità utilizzando il TPM, che “rendere i dati inaccessibili se la configurazione di UEFI Secure Boot cambia”come chiarisce il post sul blog di Eset.
Fonte :Eset
GIPHY App Key not set. Please check settings