صور جيتي
حذر باحثون الأربعاء من أن أكثر من عشرين طرازًا من أجهزة الكمبيوتر المحمول من Lenovo معرضة للاختراقات الضارة التي تعطل عملية التمهيد الآمن UEFI ثم تقوم بتشغيل تطبيقات UEFI غير الموقعة أو تحميل برامج تحميل التشغيل التي تفتح الجهاز بشكل دائم.
في نفس الوقت باحثون من شركة الأمن ESET كشف نقاط الضعفصانع الكمبيوتر المحمول الافراج عن تحديثات الأمان لـ 25 طرازًا ، بما في ذلك ThinkPads و Yoga Slims و IdeaPads. يمكن أن تكون الثغرات الأمنية التي تقوض التمهيد الآمن لـ UEFI خطيرة لأنها تسمح للمهاجمين بتثبيت البرامج الثابتة الضارة التي تنجو من عمليات إعادة تثبيت نظام التشغيل المتعددة.
ليست شائعة ، بل نادرة
اختصار لـ Unified Extensible Firmware Interface ، UEFI هو البرنامج الذي يربط البرامج الثابتة لجهاز الكمبيوتر بنظام التشغيل الخاص به. كأول جزء من التعليمات البرمجية يتم تشغيله عند تشغيل أي جهاز حديث تقريبًا ، فهو أول رابط في سلسلة الأمان. نظرًا لأن UEFI موجود على شريحة فلاش على اللوحة الأم ، فمن الصعب اكتشاف العدوى وإزالتها. التدابير النموذجية مثل مسح القرص الصلب وإعادة تثبيت نظام التشغيل ليس لها تأثير كبير لأن عدوى UEFI ستعيد إصابة الكمبيوتر بعد ذلك.
قالت ESET إن الثغرات الأمنية – التي تم تتبعها كـ CVE-2022-3430 و CVE-2022-3431 و CVE-2022-3432 – “تسمح بتعطيل التمهيد الآمن لـ UEFI أو استعادة قواعد بيانات التمهيد الآمن الافتراضية (بما في ذلك dbx): كل ذلك بسيط من نظام التشغيل. ” يستخدم التمهيد الآمن قواعد البيانات لتمكين الآليات أو رفضها. تقوم قاعدة بيانات DBX ، على وجه الخصوص ، بتخزين تجزئة تشفير للمفاتيح المرفوضة. يسمح تعطيل أو استعادة القيم الافتراضية في قواعد البيانات للمهاجم بإزالة القيود التي عادة ما تكون سارية.
قال باحث متخصص في أمن البرامج الثابتة ، فضل عدم ذكر اسمه ، في مقابلة: “تغيير الأشياء في البرامج الثابتة من نظام التشغيل ليس شائعًا ، بل نادرًا”. “معظم الناس يقصدون أنه لتغيير الإعدادات في البرامج الثابتة أو BIOS ، فإنك تحتاج إلى وصول مادي لتحطيم زر DEL عند التمهيد للانتقال إلى الإعدادات والقيام بأشياء هناك. عندما يمكنك القيام ببعض الأشياء من نظام التشغيل ، فهذا نوع كبير.”
يؤدي تعطيل UEFI Secure Boot إلى تحرير المهاجمين لتشغيل تطبيقات UEFI الضارة ، وهو أمر غير ممكن عادةً لأن Secure Boot يتطلب توقيع تطبيقات UEFI بشكل مشفر. وفي الوقت نفسه ، يسمح استرداد DBX الافتراضي للمصنع للمهاجمين بتحميل أحمال الإقلاع الضعيفة. في أغسطس ، قام باحثون من شركة الأمن Eclipsium حددت ثلاثة مدراء برمجيات بارزين والتي يمكن استخدامها لتجاوز التمهيد الآمن عندما يتمتع المهاجم بامتيازات مرتفعة ، مثل المسؤول على Windows أو الجذر على Linux.
يمكن استغلال الثغرات الأمنية عن طريق العبث بالمتغيرات في NVRAM ، ذاكرة الوصول العشوائي غير المتطايرة التي تخزن خيارات التمهيد المختلفة. الثغرات الأمنية ناتجة عن قيام Lenovo عن طريق الخطأ بشحن أجهزة الكمبيوتر المحمولة مع برامج تشغيل كان من المفترض استخدامها فقط أثناء عملية التصنيع. نقاط الضعف هي:
- CVE-2022-3430: قد تسمح الثغرة الأمنية المحتملة في برنامج تشغيل إعداد WMI في بعض أجهزة Lenovo Notebook للمستهلكين لمهاجم ذي امتياز مرتفع بتعديل إعدادات التمهيد الآمن عن طريق تعديل متغير NVRAM.
- CVE-2022-3431: قد تسمح الثغرة الأمنية المحتملة في برنامج التشغيل المستخدم أثناء عملية التصنيع لبعض أجهزة Lenovo Notebook للمستهلكين والتي لم يتم تعطيلها عن طريق الخطأ لمهاجم ذي امتياز مرتفع بتعديل إعدادات التمهيد الآمن عن طريق تعديل متغير NVRAM.
- CVE-2022-3432: قد تسمح الثغرة الأمنية المحتملة في برنامج التشغيل المستخدم أثناء عملية التصنيع في Ideapad Y700-14ISK التي لم يتم تعطيلها عن طريق الخطأ لمهاجم مرتفع بتعديل إعدادات التمهيد الآمن عن طريق ضبط متغير NVRAM.
تقوم Lenovo بإصلاح الأولين فقط. لن يتم إصلاح CVE-2022-3432 لأن الشركة لم تعد تدعم Ideapad Y700-14ISK ، طراز الكمبيوتر المحمول المتأثر المنتهي الصلاحية. يجب على الأشخاص الذين يستخدمون أيًا من النماذج الضعيفة تثبيت التصحيحات في أسرع وقت ممكن.
“Social media addict. Zombie fanatic. Travel fanatic. Music geek. Bacon expert.”
