Driverfout zorgt voor veiligheidsrisico bij Lenovo laptops

ThinkPad T 14 Gen 3

Hackers kunnen door de kwetsbaarheid bij 25 modellen malware rechtstreeks op de firmware installeren.

Via een veiligheidslek kunnen hackers het UEFI secure boot proces uitschakelen, rechtstreeks op de firmware van het toestel. Vervolgens kan de hacker malware of andere potentieel gevaarlijke software letterlijk aan de bron installeren. De malware houdt als het ware een achterdeur open zodat het zichzelf telkens opnieuw kan installeren, ook wanneer een gebruiker zijn toestel herinstalleert.

Zelden gebruikte praktijk

Het was veiligheidsfirma ESET die de kat de bel aan bond door de kwetsbaarheden openbaar te maken (zie tweet). Op hetzelfde moment publiceerde Lenovo enkele veiligheidsupdates voor 25 modellen, waaronder ThinkPads, Yoga Slims en IdeaPads. Kwetsbaarheden die de UEFI secure boot ondermijnen, kunnen potentieel gevaarlijk zijn omdat die een brug slaat tussen het toestel en het OS.

Volgens een bron bij ArsTechnica is het ondermijnen van de UEFI secure boot een zelden gebruikte praktijk. Toch kan het bijzonder gevaarlijk zijn want het gaat om het eerste stukje code dat in werking treedt bij zowat elke moderne machine. Het is dan ook de eerste link in de veiligheidsketting. Omdat UEFI zich in een flashchip bevindt op het moederbord, zijn infecties moeilijk op te sporen en te verwijderen. Zelfs het volledig wissen van de harde schijf volstaat niet omdat de UEFI-infectie de computer nadien simpelweg weer infecteert.

Drie kwetsbaarheden

ESET ontdekte drie kwetsbaarheden (CVE-2022-3430, CVE-2022-3431 en CVE-2022-3432) die het mogelijk maken om de UEFI secure boot uit te schakelen of de standaard databases te herstellen. En dat kan allemaal vanuit het OS omdat secure boot gebruik maakt van databases om mechanismen toe te staan of te weigeren. De DBX-database met name slaat de gegevens op van geweigerde sleutels. Door die database uit te schakelen of te herzetten krijgt de hacker de kans om eventuele beperkingen op te heffen.

lees ook

Meer dan 100 verschillende Lenovo-laptops bevatten bios-kwetsbaarheid

De problemen zijn ontstaan nadat Lenovo laptops verscheepte met drivers die bedoeld waren voor gebruik tijdens het fabricageproces. Lenovo patcht enkel de eerste twee kwetsbaarheden. CVE-2022-3532 valt uit de boot omdat het bedrijf niet langer de IdeaPad Y700-14ISK ondersteunt. Gebruikers van alle andere modellen die mogelijk zijn getroffen, krijgen de raad om de patches zo snel als mogelijk te installeren.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.