Lỗi bảo mật trên UEFI đặt hàng triệu laptop Lenovo vào nguy hiểm

Lỗi bảo mật trên UEFI đặt hàng triệu laptop Lenovo vào nguy hiểm
Tạp chí Nhịp sống số - ESET mới đây công bố ba lỗ hổng bảo mật cho phép kẻ tấn công đưa mã độc vào firmware trên các dòng laptop Lenovo.

Các nhà nghiên cứu tại ESET đã công bố 3 lỗ hổng bảo mật trong UEFI của nhiều dòng laptop Lenovo. Ba lỗ hổng đã được báo cho Lenovo ngày 11/10/2021, các bản vá được phát hành vào ngày 12/4/2022.

Lenovo mô tả lỗ hổng CVE-2021-3970 trong LenovoVariable SMI Handler do không xác thực đầy đủ một số mẫu laptop, cho phép kẻ tấn công có quyền truy cập và nâng đặc quyền để chạy mã độc.

Quảng cáo

Lỗ hổng CVE-2021-3971 và CVE-2021-3972 do trình điều khiển (driver) bị đưa ảnh BIOS cũ trong quá trình sản xuất. Hai lỗ hổng cho phép kẻ tấn công có thể nâng đặc quyền, sửa đổi vùng bảo vệ firmware từ NVRAM, tắt tính năng chống ghi vào flash SPI.

Theo ESET, danh sách sản phẩm Lenovo bị ảnh hưởng bao gồm hơn 100 laptop với hàng triệu đơn vị đã được bán ra, từ các model giá hợp lý như Ideapad 3 đến dòng máy cao như Legion 5 Pro -16ACH6 H hoặc Yoga Slim 9-14ITL05. Lỗ hổng cũng nằm trên Ideapad 330-15IGM và Ideapad 110-15IGR, hai trong số các mẫu laptop đã kết thúc vòng đời hỗ trợ.

Theo các nhà nghiên cứu, cách khai thác lỗ hổng bảo mật của UEFI khó phát hiện và nguy hiểm. Hệ thống sẽ thực thi mã độc trước khi đưa quyền kiểm soát sang hệ điều hành, nghĩa là có thể bỏ qua hầu hết biện pháp bảo mật và có thể cản trở việc ngăn chặn hiệu quả. Chỉ tính từ đầu năm nay, đã có hơn 50 lỗ hổng được phát hiện trong firmware của các sản phẩm như InsydeH2O của Insyde Software, HP UEFI và Dell.

ESET khuyên tất cả chủ sở hữu laptop Lenovo nên tra cứu danh sách các thiết bị ảnh hưởng và cập nhật firmware. Với những laptop hết vòng đời hỗ trợ từ hãng sản xuất, có thể tự bảo vệ bằng cách bật tính năng mã hóa ổ đĩa chống giả mạo (TPM), điều này giúp dữ liệu đĩa không thể truy cập được nếu cấu hình UEFI bị thay đổi.

Có thể bạn quan tâm

Ransomeware có tên gọi là Magniber làm giả một bản cập nhật hệ điều hành Windows và sẽ khóa dữ liệu, đồng thời đưa ra yêu cầu đòi tiền chuộc đối với các nạn nhân là những người vô tình tải xuống.