Замок без дужки
Сотни моделей персональных компьютеров на базе чипсетов и процессоров Intel содержат уязвимость, которая допускает запуск произвольного кода. Проблема вызвана ошибкой в программной оболочке Phoenix SecureCore UEFI, а точнее - модуле настроек защиты (Trusted Platform Module), вызывающей переполнение буфера.
Уязвимость выявили эксперты компании Eclypsium. По их данным, на сегодняшний день оболочки SecureCore для процессоров Intel Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake и Tiger Lake.
Первыми в качестве проблемных были обозначены модели ноутбуков Lenovo ThinkPad X1 Carbon 7th Gen и X1 Yoga 4th Gen, однако, скорее всего, уязвимы и ПК Dell, Acer и HP.
Lenovo уже начала выкатывать обновления для UEFI, которые устраняют уязвимость.
Оболочки UEFI считаются более безопасными, поскольку в них реализован инструментарий Secure Boot (защищённой загрузки), поддерживаемый всеми современными операционными системами, включая Windows, macOS и Linux.
Secure Boot криптографически удостоверяет, что загрузка осуществляется с использованием исключительно проверенных, снабжённых действительной цифровой подписью драйверов и ПО. Если в процессе загрузки выявляются вредоносы, она приостанавливается.
Это существенно затрудняет попытки хакеров установить вредоносы и скомпрометированные драйверы.
Однако, и в UEFI оболочках время от времени выявляются уязвимости, которыми злоумышленники вовсю пользуются. Для эксплуатации таких уязвимостей они пишут вредоносные программы, именуемые буткитами, которые запускаются до операционной системы и поэтому их очень трудно вывести. Между тем, возможности злоумышленников оказываются значительно шире, чем при использовании вредоносных программ уровня операционной системы.
Самыми известными буткитами последнего времени стали BlackLotus, CosmicStrand и MosaicAggressor.
Гнездо для буткита
По данным Eclypsium, «баг» в подсистеме Phoenix SecureCore содержит небезопасную переменную в Trusted Platform Module, из-за которого в области, смежные с выделенным буфером памяти, можно записывать определённые данные и таким образом обеспечивать повышение привилегий, запуск произвольного кода и, в конечном счёте, установку буткита.
«В конечном счёте становится неважным, есть ли у процессора аппаратный компонент безопасности, если уязвим сам компонент», - отмечают исследователи.
Информация о проблеме была передана в Lenovo ещё в апреле 2024 г. Как пишет издание Bleeping Computer, новые оболочки вендора устранили проблему в 150 моделях, и выпуск прошивок ещё не закончен.
«Остаётся вопрос, будут ли другие вендоры проверять наличие этой проблемы у себя», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. Она считает, что этот «баг» может затрагивать чуть ли ни всех поставщиков ноутбуков с процессорами Intel, а если это так, то ситуация отдает катастрофой.
Эксперт настоятельно рекомендует пользователям ноутбуков на базе перечисленных серий процессоров отслеживать выпуск новых версий оболочек UEFI.