יותר ממאה דגמים שונים חשופים לחולשה: חברת אבטחת המידע ESET איתרה מספר חולשות אבטחה חדשות המצויות ביותר ממאה דגמים שונים של מחשבים ניידים מבית חברת לנובו (Lenovo). החולשות מאפשרות לתוקפים לקבל גישה מלאה למערכות המחשב באמצעות נוזקות UEFI, שנחשבות קשות מאוד לאיתור ולטיפול. לנובו עודכנה בנושא ומספקת עדכון תוכנה שיגן על הדגמים החשופים.
עוד כתבות שיעניינו אתכם:
UEFI היא למעשה קושחה (Firmware - תוכנה המשובצת בהתקן חומרה) המשולבת על גבי שבב בלוח האם ומטרתה לקשר בין חומרת המחשב לבין מערכת ההפעלה שלו. קושחה זו מתבטאת בתור מערכת ייעודית שעולה לפני מערכת ההפעלה, בה ניתן להגדיר ולשנות שלל הגדרות מערכת של המחשב. בנוסף מבצעת המערכת בדיקה של רכיבי המחשב השונים על מנת לוודא תקינות מלאה של המחשב לפני עלייתה של מערכת ההפעלה.
חולשות האבטחה שגילתה ESET נמצאו במאות דגמים של מחשבים ניידים מבית לנובו על גבי דרייברים (תוכנות המאפשרות תקשורת בין תוכנות והגדרות מערכת מסוימות עם רכיבי חומרה) ייעודיים. לנובו מגדירה את אותם דרייברים כ"דלתות אחוריות בטוחות" המובנות בקושחת ה-UEFI. מטרת דרייברים אלה היא לאפשר למשתמש בעל הרשאות מערכת גבוהות לקבל גישה למגוון מערכות והגדרות קריטיות של המערכת.
פרצות אבטחה אלה מאפשרות לתוקפים פוטנציאליים להחדיר למערכות המותקפות נוזקות UEFI בקלות יתרה ובכך לקבל גישה למערכות קריטיות של המחשב המותקף. בשנים האחרונות תועדו מספק נוזקות UEFI ברחבי העולם, בהן LoJax, MosaicRegressor, FinSpy ESPector ו-MoonBounce.
"נוזקות UEFI נחשבות לחמקניות מאוד ולמסוכנות מאוד", מסביר מרטין סמולאר, חוקר בחברת ESET. "נוזקות אלה מופעלות בשלב מוקדם בתהליך ההפעלה של המחשב ולפני שהשליטה עוברת למערכת ההפעלה, מה שמאפשר לתוקפים לעקוף באמצעות נוזקות אלה את הרוב המוחלט של אמצעי ההגנה שנכנסים לפעילות מלאה רק בשלב מאוחר יותר בתהליך הפעלת המערכת".
ESET עדכנה את לנובו אודות החולשות שהתגלו באוקטובר 2021. מלנובו נמסר ל-ynet בתגובה: "אנו מודים ל-ESET על שהביאה לתשומת ליבנו סוגיה בדרייברים המשומשים בייצור כמה מהדגמים שלנו לשוק הצרכני. הדרייברים תוקנו, ולקוחות שיבצעו עדכוני מערכת כפי שמפורט על ידינו יהיו מוגנים. אנו מברכים כל שיתוף פעולה עם חוקרי BIOS ו-UEFI, ומרחיבים במקביל את השקעותינו באבטחת מערכות אלה על מנת להבטיח שהמוצרים שלנו ימשיכו לעמוד ולהתעלות על תקני התעשייה".