Lenovo는 고급 해커가 경우에 따라 제거하거나 감지할 수 없는 악성 펌웨어를 은밀히 설치할 수 있도록 하는 치명적인 취약점을 수정하기 위해 100개 이상의 노트북 모델에 대한 보안 업데이트를 출시했습니다.
백만 대 이상의 노트북에 영향을 미치는 세 가지 취약점으로 인해 해커는 컴퓨터의 UEFI를 수정할 수 있습니다. 약어 통합 확장 소프트웨어 인터페이스UEFI는 컴퓨터의 펌웨어를 운영 체제에 연결하는 소프트웨어입니다. 거의 모든 최신 장치를 켤 때 실행되는 첫 번째 소프트웨어인 이 소프트웨어는 보안 체인의 초기 링크입니다. UEFI는 마더보드의 플래시 칩에 내장되어 있기 때문에 감염을 감지하기 어렵고 제거하기조차 어렵습니다.
안 돼
CVE-2021-3971 및 CVE-2021-3972로 추적되는 두 가지 취약점이 Lenovo 소비자 노트북의 제조 프로세스 동안에만 사용하도록 의도된 UEFI 펌웨어 드라이버에 존재합니다. Lenovo 엔지니어는 제대로 비활성화하지 않고 실수로 프로덕션 BIOS 이미지에 드라이버를 포함했습니다. 해커는 버그가 있는 드라이버를 악용하여 UEFI 보안 부팅, BIOS 제어 레지스트리 비트, 보호 범위 레지스트리를 비롯한 보호 기능을 비활성화할 수 있습니다. 직렬 터미널 인터페이스 (SPI) 및 실행 중인 펌웨어에 대한 무단 변경을 방지하도록 설계되었습니다.
보안 회사 ESET의 연구원들은 취약점을 발견하고 분석한 후 세 번째 취약점인 CVE-2021-3970을 발견했습니다. 장치를 시스템 관리 모드로 전환하면 해커가 악성 펌웨어를 실행할 수 있습니다. 시스템 관리 모드는 일반적으로 하드웨어 제조업체에서 낮은 수준의 시스템 관리를 위해 사용하는 높은 권한의 운영 모드입니다.
펌웨어 해킹을 전문으로 하는 보안 연구원인 Trammell Hudson은 Ars에 다음과 같이 말했습니다. “설명에 따르면 이들은 모두 고급 공격자에게 적합한 공격 유형입니다.”. “Flash SPI 권한을 우회하는 것은 매우 나쁜 일입니다.”
그는 부팅 과정에서 권한이 없는 사람들이 악성 펌웨어를 실행하는 것을 방지하도록 설계된 BootGuard와 같은 보호 기능을 통해 위험을 줄일 수 있다고 말했습니다. 그런 다음 연구원들은 과거에 BootGuard를 약화시키는 심각한 취약점을 발견했습니다. 그들은 포함 삼중 결함 컴퓨터가 절전 모드에서 나올 때 보호 기능이 작동하지 않도록 방지하는 2020년 Hudson에 의해 발견되었습니다.
주류로 크롤링
아직은 드물지만 소위 SPI 임플란트가 점점 보편화되고 있습니다. 인터넷의 가장 큰 위협 중 하나인 Trickbot으로 알려진 맬웨어는 2020년에 시작되어 사람들이 거의 모든 장치에 펌웨어 쓰기. 야생에서 사용되는 악성 UEFI 펌웨어의 문서화된 다른 두 가지 사례는 다음과 같습니다. 로약스Sednit, Fancy Bear, APT 28 등 다양한 이름으로 알려진 러시아 정부 해커 그룹이 작성했습니다. 두 번째 사례는 보안 회사에서 사용하는 UEFI 악성 코드입니다. 아시아 외교관의 컴퓨터에서 Kaspersky를 만나보세요.
ESET에서 발견한 Lenovo 취약점 3개는 로컬 액세스가 필요합니다. 즉, 공격자는 이미 무제한 권한으로 취약한 장치를 제어할 수 있어야 합니다. 이러한 유형의 액세스에 대한 장벽은 높으며 이미 사용자를 큰 위험에 빠뜨릴 수 있는 하나 이상의 다른 중요한 취약점을 다른 곳에서 악용해야 할 것입니다.
그러나 취약점은 기존 맬웨어에서 일반적으로 가능한 것보다 훨씬 많은 맬웨어로 취약한 랩톱을 감염시킬 수 있기 때문에 위험합니다. Lenovo에는 목록이 있습니다. 여기 100개 이상의 영향을 받는 모델에서.