Závažné zraniteľnosti vo firmvéri BIOS na zariadeniach Lenovo

Spoločnosť Lenovo opravila novou aktualizáciou 5 zraniteľností vo firmvéri BIOS pre svoje produkty. Tieto zraniteľnosti predstavovali bezpečnostné riziká pre stovky zariadení Lenovo. Išlo najmä o možný únik dát, eskaláciu privilégií, nedostupnosť služieb či vzdialené vykonávanie kódu.

Opis činnosti:

CVE-2021-28216: Prvá z opravených zraniteľností sa týka chyby v systéme TianoCore EDK II BIOS. Útočník môže vďaka nej získať zvýšené oprávnenia na vzdialené vykonávanie škodlivého kódu. TianoCore EDK II BIOS je základný open-source UEFI kód bežne používaný v počítačoch.

CVE-2022-40137: Útočník môže vďaka pretečeniu zásobníka vo WMI SMI Handler bez autorizácie vzdialene vykonávať kód.Podľa dostupných informácií sa jedná o najzávažnejšiu zraniteľnosť.

Ostatné tri zraniteľnosti sa týkajú možného úniku dát. Ide o chyby umožňujúce zvýšenie oprávnení, ktoré dovoľujú útočníkovi čítať dáta z SMM (System Management Mode) pamäte na zasiahnutých zariadeniach. 

CVE-2022-40136: Zraniteľnosť v SMI (System Management Interrupt) Handler, ktorý sa využíva na konfiguráciu nastavení platformy prostredníctvom WMI (Windows Management Instrumentation). Táto zraniteľnosť poskytuje útočníkovi príležitosť zvýšiť svoje oprávnenie a získať tak pristúp k dátam v SMM pamäti.

CVE-2022-40135: Zraniteľnosť umožňujúca únik dát prostredníctvom Smart USB Ochrany v SMI Handler. Útočníkovi dáva možnosť získať prístup k dátam v SMM pamäti.

CVE-2022-40134: Zraniteľnosť v SMI Set Bios Password SMI Handler, ktorá dáva útočníkovi možnosť zvýšiť svoje oprávnenia bez autorizácie, čo umožňuje získanie prístupu k dátam v SMM pamäti.

Zraniteľné systémy:

  • Počítače Lenovo
  • Počítače Lenovo – All in One
  • Lenovo Hyperscale
  • Notebooky Lenovo 
  • Lenovo Smart office 
  • Lenovo ThinkAgile
  • Lenovo ThinkPad 
  • Lenovo ThinkServer
  • Lenovo ThinkStation
  • Lenovo ThinkSystem
  • Úložiská Lenovo

Podrobný zoznam zasiahnutých zariadení nájdete tu.

Závažnosť zraniteľnosti: Vysoká

Možné škody:

  • Vzdialené vykonávanie kódu
  • Nedostupnosť služby (DoS)
  • Únik dát
  • Eskalácia privilégií

Odporúčania:

Bezodkladná aktualizácia firmvéru BIOS na všetkých zariadeniach Lenovo. Zatiaľ čo väčšina zraniteľností bola opravená aktualizáciami v júli a auguste, ďalšie opatrenia budú obsiahnuté v aktualizáciách, ktoré spoločnosť predstaví počas septembra a októbra. Je preto odporúčané sledovať najnovšie aktualizácie pre jednotlivé produkty Lenovo. Všetky najnovšie manuály vysvetľujúce ako postupovať pri aktualizáciách na konkrétnych zariadeniach môžete nájsť tu.

Odkazy:

https://www.bleepingcomputer.com/news/security/new-lenovo-bios-updates-fix-security-bugs-in-hundreds-of-models/

https://support.lenovo.com/us/en/product_security/LEN-94953#Storage

https://www.techzine.eu/news/devices/88983/lenovo-bios-updates-patch-security-bugs-in-hundreds-of-models/

https://securityonline.info/cve-2022-40137-lenovo-bios-security-flaw/

https://borncity.com/win/2022/09/15/lenovo-bios-uefi-updates-beseitigen-sicherheitslcken-hunderte-modelle-betroffen-9-2022/