نقص جدید فریمور UEFI بیش از 70 مدل لپ تاپ لنوو را تحت تأثیر قرار داده است

نقص جدید فریمور UEFI بیش از 70 مدل لپ تاپ لنوو را تحت تأثیر قرار داده است

حملات فریمور UEFI بسیار خطرناک هستند، زیرا هکران و عوامل تهدید را قادر می‌سازد تا بدافزار را در مراحل اولیه بوت سیستم عامل اجرا کنند، یعنی حتی قبل از اینکه محافظ‌های امنیتی داخلی ویندوز فعال شوند.
این سطح دسترسی اولیه به بدافزار اجازه می‌دهد تا محافظت‌های امنیتی سطح سیستم‌عامل را دور بزند یا غیرفعال کند، از شناسایی فرار کند و حتی پس از فرمت شدن دیسک همچنان به کار ادامه دهند

فریمور UEFI که در چندین مدل از لپ‌تاپ های لنوو استفاده می‌شود، در برابر سه نقص buffer overflow آسیب‌پذیر است که می‌تواند مهاجمان را قادر به ربودن روال راه‌اندازی نصب‌ ویندوز کند.

لنوو یک توصیه امنیتی منتشر کرده است که در آن این سه آسیب‌پذیری را، با اهمیت متوسط، به‌عنوان CVE-2022-1890، CVE-2022-1891 و CVE-2022-1892 شناسایی کرده است. اولین مشکل مربوط به درایور ReadyBootDxe است که در برخی از لپ‌تاپ لنوو استفاده می‌شود، و دو مورد آخرمربوط به باگ‌های buffer overflow در درایور SystemLoadDefaultDxe هستند. درایور دوم در محصولات Yoga، IdeaPad، Flex، ThinkBook، V14، V15، V130، Slim، S145، S540 و S940 Lenovo استفاده می‌شود و بیش از 70 مدل جداگانه را متاثر ازاین باگ می­کند.

برای اطلاعات بیشتر در مورد مدل‌های آسیب‌ پذیر، جدول محصول لنوو  را در انتهای توصیه‌نامه امنیتی این شرکت  بررسی کنید.

به گفته ESET، که تحلیلگرانش این سه باگ را کشف و به لنوو گزارش کردند، یک مهاجم می‌تواند از آنها برای ربودن جریان اجرای سیستم‌عامل و غیرفعال کردن ویژگی‌های امنیتی آن استفاده کند. 

ESET Research در توییتی توضیح می‌دهد: "این آسیب‌پذیری‌ها در تابع UEFI Runtime Services، ناشی از اعتبارسنجی ناکافی پارامتر DataSize است که به این تایع GetVariable را ارسال می کند".

"یک مهاجم می تواند یک متغیر NVRAM ساخته شده ایجاد کند و باعث buffer overflow در دومین فراخوانی GetVariable شود." 

Variable to trigger exploitation of CVE-2022-1892 (ESET Research) 

ربودن سیستم عامل

حملات فریمور UEFI بسیار خطرناک هستند، زیرا هکران و عوامل تهدید را قادر می‌سازد تا بدافزار را در مراحل اولیه بوت سیستم عامل اجرا کنند، یعنی حتی قبل از اینکه محافظ‌های امنیتی داخلی ویندوز فعال شوند. این سطح دسترسی اولیه به بدافزار اجازه می‌دهد تا محافظت‌های امنیتی سطح سیستم‌عامل را دور بزند یا غیرفعال کند، از شناسایی فرار کند و حتی پس از فرمت شدن دیسک همچنان به کار ادامه دهند. در حالی که هکرانی که به صورت ریموت  کار می­کنند، در صورت نداشتن مهارت کافی، نمی توانند به راحتی از این نقص ها سوء استفاده کنند، اما هکرهای توانمندتر با دسترسی (از طریق بدافزار یا نفوذی و در محل) به یک دستگاه هدف می توانند از آسیب پذیری ها برای حملات فوق العاده قدرتمند استفاده کنند.

برای مقابله با خطر امنیتی، به کاربران دستگاه‌های آسیب‌دیده توصیه می‌شود که آخرین نسخه درایور موجود را برای محصولات خود دانلود کنند که در پورتال رسمی دانلود نرم‌افزار Lenovo قابل مشاهده است.

برای تعیین مدل دستگاه لنوو خود میتوانید از سایت تشخیص مدل لنوو استفاده کنید. برای کمک به جامعه امنیت سایبری در شناسایی و رفع مشکلات مشابه، ESET بهبود کدهایی را به تحلیلگر میان‌افزار UEFI Binarly 'efiXplorer'  ارائه کرد که به صورت رایگان در GitHub در دسترس است.