Компанія Lenovo попередила власників своїх лептопів, що в понад 70 моделях виявлено прогалини в безпеці, які дозволяють виконувати довільний код через UEFI/BIOS.

Загалом дослідники безпеки ESET виявили три вразливості, які при переповненому буфері дозволяють зловмисникам с локальним доступом виконувати довільний код. За словами Lenovo тільки одна з них (CVE-2022-1892) стосується всіх моделей, тоді як дві інші зачіпають лише декілька моделей.

«Ці вразливості можна використати для виконання довільного коду на ранніх етапах завантаження системи, що, можливо, дозволить зловмисникам захопити процес виконання ОС та вимкнути деякі важливі функції безпеки. — пояснили в ESET. — Вразливості були спричинені недостатньою перевіркою параметра DataSize, переданого функції GetVariable UEFI Runtime Services. Зловмисник може створити спеціально змінну NVRAM, що спричинить переповнення буфера даних під час другого виклику GetVariable.»

Додатково Lenovo попереджає про Retbleed — нову спекулятивну атаку, яка зачіпає пристрої з процесорами Intel і AMD. Також багато моделей, які використовують XClarity Controller для керування сервером, теж мають вразливості.

Вразливості прошивки не є рідкістю. Хоча деякі з них є специфічними для продуктів одного постачальника, дослідники також виявили вразливості в компонентах сторонніх розробників, які використовуються багатьма вендорами.

Наприклад, компанія Binarly, яка спеціалізується на захисті мікропрограм, нещодавно виявила майже два десятки вразливостей у коді InsydeH2O UEFI, який використовується понад 25 постачальниками, включно з HP, Lenovo, Fujitsu, Microsoft, Intel, Dell, Bull та Siemens.

Попри те, що Insyde Software виправив уразливості після повідомлення від Binarly, може знадобитися деякий час, поки виправлення будуть прийняті виробниками та досягнуть мільйонів кінцевих користувачів. Виробник модульних і оновлюваних ноутбуків Framework лише нещодавно повідомив клієнтів про наявність виправлень для цих недоліків.