Lebih dari dua lusin model notebook Lenovo rentan terhadap peretasan berbahaya yang menonaktifkan proses boot aman UEFI dan kemudian menjalankan aplikasi UEFI yang tidak ditandatangani atau memuat bootloader yang secara permanen menutup perangkat.
Peneliti keamanan ESET juga mengungkapkan kerentanan, pembuat notebook merilis pembaruan keamanan untuk 25 model, termasuk ThinkPads, Yoga Slims, dan IdeaPads. Kerentanan yang merusak boot aman UEFI bisa serius karena memungkinkan penyerang untuk menginstal firmware berbahaya yang bertahan dari beberapa penginstalan ulang sistem operasi.
Unified Extensible Firmware Interface UEFI adalah perangkat lunak yang menjembatani firmware perangkat komputer dengan sistem operasinya. Sebagai bagian kode pertama yang dijalankan ketika hampir semua mesin modern dihidupkan, ini adalah tautan pertama dalam rantai keamanan.
Karena UEFI berada dalam chip flash pada motherboard, infeksi sulit untuk dideteksi dan dihilangkan. Tindakan umum seperti menghapus hard drive dan menginstal ulang OS tidak memiliki dampak yang berarti karena infeksi UEFI hanya akan menginfeksi ulang komputer setelahnya.
ESET mengatakan kerentanan—dilacak sebagai CVE-2022-3430, CVE-2022-3431, dan CVE-2022-3432—“memungkinkan penonaktifan UEFI Secure Boot atau memulihkan database Secure Boot default pabrik (termasuk dbx): semuanya hanya dari OS .” Boot aman menggunakan database untuk mengizinkan dan menolak mekanisme. Basis data DBX, khususnya, menyimpan hash kriptografi dari kunci yang ditolak. Menonaktifkan atau memulihkan nilai default dalam database memungkinkan penyerang menghapus batasan yang biasanya ada.
Menonaktifkan UEFI Secure Boot membebaskan penyerang untuk mengeksekusi aplikasi UEFI berbahaya, sesuatu yang biasanya tidak mungkin dilakukan karena boot aman memerlukan aplikasi UEFI untuk ditandatangani secara kriptografis.
Memulihkan DBX default pabrik, sementara itu, memungkinkan penyerang memuat bootloader yang rentan. Pada bulan Agustus, peneliti dari perusahaan keamanan Eclypsium mengidentifikasi tiga driver perangkat lunak terkemuka yang dapat digunakan untuk mem-bypass boot aman ketika penyerang memiliki hak yang lebih tinggi, yang berarti administrator di Windows atau root di Linux.
Kerentanan dapat dieksploitasi dengan mengutak-atik variabel di NVRAM, RAM non-volatil yang menyimpan berbagai opsi boot. Kerentanan adalah hasil dari Lenovo keliru mengirimkan Notebook dengan driver yang dimaksudkan untuk digunakan hanya selama proses pembuatan. Kerentanannya adalah:
- CVE-2022-3430: Potensi kerentanan dalam driver Pengaturan WMI pada beberapa perangkat Notebook Lenovo konsumen dapat memungkinkan penyerang dengan hak istimewa yang lebih tinggi untuk mengubah pengaturan boot aman dengan mengubah variabel NVRAM.
- CVE-2022-3431: Potensi kerentanan pada driver yang digunakan selama proses pembuatan pada beberapa perangkat Notebook Lenovo konsumen yang secara keliru tidak dinonaktifkan dapat memungkinkan penyerang dengan hak istimewa yang lebih tinggi untuk mengubah pengaturan boot aman dengan mengubah variabel NVRAM.
- CVE-2022-3432: Potensi kerentanan pada driver yang digunakan selama proses pembuatan pada Ideapad Y700-14ISK yang secara keliru tidak dinonaktifkan dapat memungkinkan penyerang dengan hak istimewa yang lebih tinggi untuk mengubah pengaturan boot aman dengan menyesuaikan variabel NVRAM.
Lenovo hanya menambal dua yang pertama. CVE-2022-3432 tidak akan ditambal karena perusahaan tidak lagi mendukung Ideapad Y700-14ISK, model notebook akhir masa pakai yang terpengaruh.
Sumber: Arstechnica
