Lỗi bảo mật trên UEFI ảnh hưởng hàng triệu laptop
ESET mới đây công bố 3 lỗ hổng bảo mật cho phép kẻ tấn công đưa mã độc vào firmware trên các dòng laptop Lenovo.
Các nhà nghiên cứu tại ESET đã công bố 3 lỗ hổng bảo mật trong UEFI của nhiều dòng laptop Lenovo. Ba lỗ hổng đã được báo cho Lenovo ngày 11/10/2021, các bản vá được phát hành vào ngày 12/4/2022.
Lenovo mô tả lỗ hổng CVE-2021-3970 trong LenovoVariable SMI Handler do không xác thực đầy đủ một số mẫu laptop, cho phép kẻ tấn công có quyền truy cập và nâng đặc quyền để chạy mã độc. Lỗ hổng CVE-2021-3971 và CVE-2021-3972 do trình điều khiển (driver) bị đưa ảnh BIOS cũ trong quá trình sản xuất. Hai lỗ hổng cho phép kẻ tấn công có thể nâng đặc quyền, sửa đổi vùng bảo vệ firmware từ NVRAM, tắt tính năng chống ghi vào flash SPI.
Ba lỗ hổng bảo mật mới phát hiện đặt hàng triệu laptop Lenovo vào nguy hiểm.
Theo ESET, danh sách sản phẩm Lenovo bị ảnh hưởng bao gồm hơn 100 laptop với hàng triệu đơn vị đã được bán ra, từ model giá hợp lý như Ideapad 3 đến dòng máy cao như Legion 5 Pro -16ACH6 H hoặc Yoga Slim 9-14ITL05. Lỗ hổng cũng nằm trên Ideapad 330-15IGM và Ideapad 110-15IGR, hai trong số các mẫu laptop đã kết thúc vòng đời hỗ trợ.
Cài nhầm driver
Các nhà nghiên cứu tại ESET cảnh báo hai lỗ hổng liên quan tới UEFI (CVE-2021-3971 và CVE-2021-3972) có thể bị hacker sử dụng để triển khai và thực hiện thành công việc cấy SPI flash hoặc ESP.
Cả hai vấn đề bảo mật liên quan tới UEFI trong sản phẩm của Lenovo đều xuất phát từ việc hai driver đã bị cài nhầm. Cụ thể, các driver có tên SecureBackDoor và SecureBackDoorPeim vốn chỉ được dùng trong quá trình sản xuất đã bị cài nhầm vào các thiết bị thương mại.
Rất khó phát hiện UEFI bị cấy mã độc
Theo ESET các mối đe dọa liên quan tới UEFI thường rất nguy hiểm và khó phát hiện. Lý do là vì chúng thực thi sớm trong quá trình khởi động trước khi chuyển quyền kiểm soát sang hệ điều hành. Điều này có nghĩa là tất cả giải pháp giảm thiểu và bảo mật hoạt động ở cấp độ điều hành đều vô dụng và việc thực thi ngầm các payload là điều không thể tránh khỏi và không thể phát hiện được.
Đương nhiên là vẫn có thể phát hiện ra kiểu tấn công này nhưng sẽ cần tới các kỹ thuật nâng cao hơn như kiểm tra tính toàn vện của UEFI, phân tích firmware theo thời gian thực hoặc theo dõi hành vi của fimrware và thiết bị để tìm ra các hoạt động đáng ngờ. Các công ty bảo mật đã tìm ra hai cuộc tấn công cấy ghép như vậy trong quá khứ, cả hai đều được các hacker sử dụng trong các cuộc tấn công thực tế:
Lojax - được phát hiện vào năm 2018 và sử dụng bởi các hacker do nhà nước Nga tài trợ như APT28, Fancy Bear, Sednit, Strontium và Sofacy.
ESPcter - được phát hiện vào năm 2021 và hoạt động từ năm 2012.
Tuy nhiên, đây không phải mối đe dọa UEFI duy nhất được phát hiện. Kasspersky đã công bố các báo cáo về MosaicRegressor vào năm 2020, FinSpy vào năm 2021 và MoonBounce vào tháng 01/2022. Để an toàn trước các cuộc tấn công từ những lỗ hổng trên, Lenovo khuyến nghị người dùng các mẫu laptop bị ảnh hưởng cập nhật firmware lên phiên bản mới nhất hiện có. Điều này có thể được thực hiện bằng cách tải về và cài đặt thủ công từ trang hỗ trợ của thiết bị hoặc với sự trợ giúp của các tiện ích cập nhật driver hệ thống do Lenovo cung cấp.
