Lenovo vừa xuất bản một khuyến cáo bảo mật về các lỗ hổng ảnh hưởng tới Unified Extensible Firmware Interface (UEFI) cài đặt trên ít nhất 100 mẫu laptop của hãng.
Tổng cộng có 3 vấn đề bảo mật đã được phát hiện, hai trong số đó cho phép hacker vô hiệu hóa tính năng bảo vệ cho chip nhớ flash SPI, nơi lưu trữ firmware UEFI và tắt UEFI Secure Boot, tính năng đảm bảo rằng tại thời điểm khởi động máy tính chỉ tải code được tin cậy bởi OEM.
Nếu khai thác thành công lỗ hổng thứ 3, CVE-2021-3970, hacker có thể thực thi code tùy ý với đặc quyền được nâng cao.
Cả ba lỗ hổng đều được các nhà nghiên cứu của ESET phát hiện ra và báo cáo cho Lenovo một cách có trách nhiệm vào năm ngoái. Chúng ảnh hưởng tới hơn 100 mẫu laptop tiêu dùng bao gồm IdeaPad 3, Legion 5 Pro-16ACH6 H, Yoga Slim 0-14ITL05. Điều này tương đương với việc hàng triệu người dùng đang sử dụng các thiết bị dễ bị tấn công.
Cài nhầm driver
Các nhà nghiên cứu tại ESET cảnh báo rằng hai lỗ hổng liên quan tới UEFI (CVE-2021-3971 và CVE-2021-3972) có thể bị hacker sử dụng để triển khai và thực hiện thành công việc cấy SPI flash hoặc ESP.
Cả hai vấn đề bảo mật liên quan tới UEFI trong các sản phẩm của Lenovo đều xuất phát từ việc hai driver đã bị cài nhầm. Cụ thể, các driver có tên SecureBackDoor và SecureBackDoorPeim vốn chỉ được dùng trong quá trình sản xuất đã bị cài nhầm vào các thiết bị thương mại.
Rất khó phát hiện UEFI bị cấy mã độc
Theo ESET các mối đe dọa liên quan tới UEFI thường rất nguy hiểm và khó phát hiện. Lý do là vì chúng thực thi sớm trong quá trình khởi động trước khi chuyển quyền kiểm soát sang hệ điều hành.
Điều này có nghĩa là tất cả các giải pháp giảm thiểu và bảo mật hoạt động ở cấp độ điều hành đều vô dụng và việc thực thi ngầm các payload là điều không thể tránh khỏi và không thể phát hiện được.
Đương nhiên là vẫn có thể phát hiện ra kiểu tấn công này nhưng sẽ cần tới các kỹ thuật nâng cao hơn như kiểm tra tính toàn vện của UEFI, phân tích firmware theo thời gian thực hoặc theo dõi hành vi của fimrware và thiết bị để tìm ra các hoạt động đáng ngờ.
Các công ty bảo mật đã tỉm ra hai cuộc tấn công cấy ghép như vậy trong quá khứ, cả hai đều được các hacker sử dụng trong các cuộc tấn công thực tế:
- Lojax - được phát hiện vào năm 2018 và được sử dụng bởi các hacker do nhà nước Nga tài trợ như APT28, Fancy Bear, Sednit, Strontium và Sofacy.
- ESPcter - được phát hiện vào năm 2021 và hoạt động từ năm 2012.
Tuy nhiên, đây không phải là mối đe dọa UEFI duy nhất được phát hiện. Kasspersky đã công bố các báo cáo về MosaicRegressor vào năm 2020, FinSpy vào năm 2021 và MoonBounce vào tháng 01/2022.
Để an toàn trước các cuộc tấn công từ những lỗ hổng trên, Lenovo khuyến nghị người dùng các mẫu laptop bị ảnh hưởng hãy cập nhật firmware lên phiên bản mới nhất hiện có.
Điều này có thể được thực hiện bằng cách tải về và cài đặt thủ công từ trang hỗ trợ của thiết bị hoặc với sự trợ giúp của các tiện ích cập nhật driver hệ thống do Lenovo cung cấp.