- Door misbruik te maken van deze kwetsbaarheden kunnen aanvallers UEFI-malware, zoals LoJax en ESPecter, installeren en met succes uitvoeren.
- UEFI-bedreigingen kunnen zeer geniepig en gevaarlijk zijn.
- De ontdekte kwetsbaarheden hebben de volgende CVE-codes: CVE-2021-3970, CVE-2021-3971, CVE-2021-3972.
Sliedrecht, 19 april 2022 – Onderzoekers van ESET, een wereldwijde leider op het gebied van Digital Security, hebben drie kwetsbaarheden ontdekt en geanalyseerd die verschillende Lenovo-laptopmodellen treffen. Misbruik van deze kwetsbaarheden zou aanvallers de mogelijkheid geven UEFI-malware te implementeren en succesvol uit te voeren, ofwel in de vorm van een SPI-flash-implantaat zoals LoJax of als UEFI-bootkit zoals onze nieuwste ontdekking ESPecter. In totaal beslaat de lijst van getroffen apparaten meer dan honderd verschillende laptopmodellen met miljoenen gebruikers wereldwijd.
"UEFI-bedreigingen kunnen uiterst geniepig en gevaarlijk zijn. Ze worden vroeg in het opstartproces uitgevoerd, voordat de controle wordt overgedragen aan het besturingssysteem. Dit betekent dat ze bijna alle beveiligingsmaatregelen en mitigaties in een hoger stadium, die kunnen voorkomen dat hun payloads voor het besturingssysteem worden uitgevoerd, kunnen omzeilen ", zegt ESET-onderzoeker Martin Smolár, die de kwetsbaarheden ontdekte. "Onze ontdekking toont aan dat in sommige gevallen de inzet van de UEFI-bedreigingen misschien niet zo moeilijk is als verwacht, en het grotere aantal echte UEFI-bedreigingen dat de afgelopen jaren is ontdekt, suggereert dat kwaadwillenden zich hiervan bewust zijn", voegt hij eraan toe.
De eerste twee van de gevonden kwetsbaarheden - CVE-2021-3971 en CVE-2021-3972 – treffen UEFI-firmwaredrivers oorspronkelijk bedoeld voor gebruik tijdens het productieproces van Lenovo-notebooks voor consumenten. Per ongeluk werden ze ook opgenomen in de BIOS-images, zonder dat ze op de juiste manier werden gedeactiveerd. De getroffen firmwaredrivers kunnen door aanvallers worden geactiveerd om SPI-flashbeveiligingen (BIOS Control Register-bits en Protected Range-registers) of de UEFI Secure Boot-functie rechtstreeks uit te schakelen vanuit een geprivilegieerd gebruikersmodusproces tijdens het opstarten van het besturingssysteem. Tijdens het onderzoek van de door CVE-2021-3971 en CVE-2021-3972 getroffen binaries ontdekte ESET bovendien een derde kwetsbaarheid: SMM geheugencorruptie in de SMI handler-functie (CVE-2021-3970). Deze kwetsbaarheid maakt willekeurig lezen/schrijven van/naar SMRAM mogelijk, wat kan leiden tot de uitvoering van kwaadaardige code met SMM-privileges en mogelijk tot de implementatie van een SPI-flash implantaat.
SPI-flash is een kleine geheugenchip die zich op het moederbord van de computer bevindt en vaak wordt gebruikt als opslag voor een platformfirmwarecode, waaronder UEFI-firmware. Om deze opslag te beschermen tegen ongeoorloofde wijzigingen, voorziet de chipset in speciale beschermingsmechanismen zoals BIOS Control Register of Protected Range Registers. UEFI-malware die zich op de SPI flash bevindt, wordt ook wel SPI-flash implantaat of UEFI-rootkit genoemd.
De opstart- en runtime-diensten van de UEFI bieden de basisfuncties en gegevensstructuren die de drivers en toepassingen nodig hebben om hun werk te doen, zoals het installeren van protocollen, het lokaliseren van bestaande protocollen, geheugentoewijzing, manipulatie van UEFI-variabelen, enz. UEFI-variabelen zijn peciael opslagmechanismen voor firmware die door UEFI-modules worden gebruikt om verschillende configuratiegegevens op te slaan, waaronder opstartconfiguratie.
System Management Mode (SMM) is een speciale, zeer bevoorrechte uitvoeringsmodus voor de processor (nog bevoorrechter dan de OS-kernel of de hypervisor). Om in deze SMM-uitvoeringsmodus te komen, moet een speciale System Management Interrupt (SMI) worden geactiveerd. Wanneer de processor in de SMM-uitvoeringsmodus komt, heeft hij toegang tot het speciale geheugengebied (SMRAM genoemd), dat hardwarematig beschermd is tegen toegang vanuit niet-SMM-uitvoeringsmodus. De platformfirmware handelt ingeroepen SMI's af door functies die SMI-handlers worden genoemd. Deze handler-functies verwerken soms gegevens van onbetrouwbare bronnen (bijv. van het besturingssysteem) en daarom moeten gegevens goed worden gevalideerd voordat ze worden gebruikt. Anders zouden aanvallers speciaal bewerkte invoergegevens kunnen doorgeven aan de SMI-handler, wat kan leiden tot beschadiging van het SMRAM-geheugen en daaropvolgende uitvoering van willekeurige code met SMM-privileges.
"Alle echte UEFI-bedreigingen die de afgelopen jaren zijn ontdekt - LoJax, MosaicRegressor, MoonBounce, ESPecter, FinSpy - moesten de beveiligingsmechanismen op de een of andere manier omzeilen of uitschakelen om te kunnen worden ingezet en uitgevoerd," legt Smolár uit.
ESET Research raadt alle eigenaren van Lenovo laptops sterk aan om de lijst van getroffen apparaten door te nemen en hun firmware te updaten door de instructies van de fabrikant te volgen.
Voor degenen die End Of Development Support-apparaten gebruiken die zijn getroffen door CVE-2021-3972 zonder dat er fixes beschikbaar zijn: een manier om u te helpen beschermen tegen ongewenste wijziging van de UEFI Secure Boot-status is het gebruik van een TPM-bewuste oplossing voor volledige schijfversleuteling die in staat is om schijfgegevens ontoegankelijk te maken als de UEFI Secure Boot-configuratie verandert.
Voor meer technische informatie, zie de blogpost ‘When "secure" isn't secure at all: High-impact UEFI vulnerabilities discovered in Lenovo consumer laptops’ op WeLiveSecurity . Volg ESET Research op Twitter voor het laatste nieuws van ESET Research.
Over ESET
Al meer dan 3 decennia ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds complexere digitale bedreigingen. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf uit de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Evoluerende bedreigingen vereisen een evoluerend IT-beveiligingsbedrijf dat veilig gebruik van technologie mogelijk maakt. Dit wordt ondersteund door ESET's R&D centra wereldwijd, die zich inzetten voor onze gezamenlijke toekomst. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook,Instagram en Twitter.