Хакери можуть заразити понад 100 моделей Lenovo шкідливим ПЗ, яке неможливо прибрати

Понад 100 моделей ноутбуків Lenovo мають критичні вразливості, що дають можливість хакерам встановити шкідливі мікропрограми, які майже неможливо видалити або, в деяких випадках, виявити. Список моделей можна переглянути за посиланням. У Lenovo вже випустили оновлення безпеки для них. 

Три вразливості, що ставлять під загрозу майже мільйон ноутбуків, дозволяють хакерам змінювати UEFI – інтерфейс, який з’єднує операційну систему з мікропрограмним забезпеченням. Оскільки це перша програма, яка запускається під час вмикання будь-якого сучасного пристрою – вона є першою ланкою ланцюга безпеки. UEFI зберігається на флеш-чипі материнської плати, тому шкідливі програми складно виявити та видалити. 

Дві вразливості, що відстежуються як CVE-2021-3971 та CVE-2021-3972, знаходяться у драйверах мікропрограми UEFI. Ці драйвери мають використовуватись лише під час виробництва ноутбуків, однак інженери Lenovo ненавмисне залишили їх активними. Тож хакери можуть використати їх для вимкнення захисту. 

Після вивчення двох вразливостей, дослідники з ESET виявили третю – CVE-2021-3970. Вона дозволяє хакерам запускати шкідливі мікропрограми, коли комп’ютер переводять у режим системного керування. Це найбільш привілейований режим, який зазвичай використовують виробники для низькорівневого керування системою. 

Існує тільки два задокументованих випадки використання шкідливих UEFI мікропрограм. Перша з них це LoJax, написана російською державною групою хакерів, яку знають під різними назвами – Sednit, Fancy Bear, APT 28 тощо. Інший випадок – шкідлива програма для UEFI, яку знайшли на комп’ютерах дипломатів у Азії.