Závažné zraniteľnosti vo firmvéri BIOS na zariadeniach Lenovo
Spoločnosť Lenovo opravila novou aktualizáciou 5 zraniteľností vo firmvéri BIOS pre svoje produkty. Tieto zraniteľnosti predstavovali bezpečnostné riziká pre stovky zariadení Lenovo. Išlo najmä o možný únik dát, eskaláciu privilégií, nedostupnosť služieb či vzdialené vykonávanie kódu.
Opis činnosti:
CVE-2021-28216: Prvá z opravených zraniteľností sa týka chyby v systéme TianoCore EDK II BIOS. Útočník môže vďaka nej získať zvýšené oprávnenia na vzdialené vykonávanie škodlivého kódu. TianoCore EDK II BIOS je základný open-source UEFI kód bežne používaný v počítačoch.
CVE-2022-40137: Útočník môže vďaka pretečeniu zásobníka vo WMI SMI Handler bez autorizácie vzdialene vykonávať kód.Podľa dostupných informácií sa jedná o najzávažnejšiu zraniteľnosť.
Ostatné tri zraniteľnosti sa týkajú možného úniku dát. Ide o chyby umožňujúce zvýšenie oprávnení, ktoré dovoľujú útočníkovi čítať dáta z SMM (System Management Mode) pamäte na zasiahnutých zariadeniach.
CVE-2022-40136: Zraniteľnosť v SMI (System Management Interrupt) Handler, ktorý sa využíva na konfiguráciu nastavení platformy prostredníctvom WMI (Windows Management Instrumentation). Táto zraniteľnosť poskytuje útočníkovi príležitosť zvýšiť svoje oprávnenie a získať tak pristúp k dátam v SMM pamäti.
CVE-2022-40135: Zraniteľnosť umožňujúca únik dát prostredníctvom Smart USB Ochrany v SMI Handler. Útočníkovi dáva možnosť získať prístup k dátam v SMM pamäti.
CVE-2022-40134: Zraniteľnosť v SMI Set Bios Password SMI Handler, ktorá dáva útočníkovi možnosť zvýšiť svoje oprávnenia bez autorizácie, čo umožňuje získanie prístupu k dátam v SMM pamäti.
Zraniteľné systémy:
- Počítače Lenovo
- Počítače Lenovo – All in One
- Lenovo Hyperscale
- Notebooky Lenovo
- Lenovo Smart office
- Lenovo ThinkAgile
- Lenovo ThinkPad
- Lenovo ThinkServer
- Lenovo ThinkStation
- Lenovo ThinkSystem
- Úložiská Lenovo
Podrobný zoznam zasiahnutých zariadení nájdete tu.
Závažnosť zraniteľnosti: Vysoká
Možné škody:
- Vzdialené vykonávanie kódu
- Nedostupnosť služby (DoS)
- Únik dát
- Eskalácia privilégií
Odporúčania:
Bezodkladná aktualizácia firmvéru BIOS na všetkých zariadeniach Lenovo. Zatiaľ čo väčšina zraniteľností bola opravená aktualizáciami v júli a auguste, ďalšie opatrenia budú obsiahnuté v aktualizáciách, ktoré spoločnosť predstaví počas septembra a októbra. Je preto odporúčané sledovať najnovšie aktualizácie pre jednotlivé produkty Lenovo. Všetky najnovšie manuály vysvetľujúce ako postupovať pri aktualizáciách na konkrétnych zariadeniach môžete nájsť tu.
Odkazy:
https://support.lenovo.com/us/en/product_security/LEN-94953#Storage
https://securityonline.info/cve-2022-40137-lenovo-bios-security-flaw/