De kwetsbaarheden stellen cybercriminelen in staat om kwaadaardige code uit te voeren voordat een apparaat opstart.

Lenovo heeft een reeks patches uitgebracht voor kwetsbaarheden in de UEFI-firmware van meerdere laptopmodellen. De kwetsbaarheden werden geclassificeerd als ‘high-severity’ en stellen aanvallers in staat om het secure boot-proces van laptops uit te schakelen. Dit maakt het mogelijk om laptop terug te zetten naar de fabrieksinstellingen en malware te laden.

Het secure boot-proces vindt plaats tijdens het opstarten van een laptop. De techniek zorgt ervoor dat alleen vertrouwde componenten en software worden geladen. Secure boot is ontworpen om kwaadaardige of gewijzigde firmware te voorkomen. De kwetsbaarheden werden door ESET Research Labs gevonden. Onderzoekers ontdekten dat de secure boot-instellingen van Lenovo pc’s gewijzigd kunnen worden door de NVRAM-variabel aan te passen.

Het uitvoeren van kwaadaardige code vóór het opstarten van een besturingssysteem is gevaarlijk, aangezien de securitymaatregelen van een apparaat op dat moment nog niet zijn ingeschakeld. Aanvallers hebben vrij spel. De door ESET gevonden kwetsbaarheden bevinden zich in testdrivers die uitsluitend bedoeld waren voor interne productieprocessen. Lenovo nam de drivers per ongeluk mee in de firmware van commerciële laptops.

Patches

Lenovo heeft patches uitgebracht voor alle getroffen apparaten die worden ondersteund. Twee van de bugs (CVE-2022-3430 en CVE-2022-3431) zijn aanwezig in meerdere IdeaPad-, ThinkBook-, Yoga- en Slim 7-modellen. Een van de bugs (CVE-2022-3432) treft alleen de Lenovo Ideapad Y700-14ISK. Dit model wordt niet langer ondersteund, waardoor de patch ontbreekt.

“Een potentiële kwetsbaarheid in drivers die tijdens het productieproces op sommige Lenovo-notebooks voor consumenten worden gebruikt — en per ongeluk niet zijn gedeactiveerd — kan een aanvaller in staat stellen om de secure boot-instellingen te wijzigen”, aldus de Lenovo advisory voor CVE-2022-3431.

Lenovo adviseert gebruikers om hun apparaten zo snel mogelijk te updaten.

Tip: OT-security van datacenters moet veel hoger op de agenda staan