Onderzoekers van ESET hebben drie kwetsbaarheden ontdekt en geanalyseerd die een impact hebben op verschillende Lenovo-laptops. Deze kwetsbaarheden bieden hackers de mogelijkheid om UEFI-malware te implementeren en uit te voeren, hetzij in de vorm van SPI-flashimplantaten zoals LoJax of ESP-implantaten zoals ESPecter, ESET’s nieuwste ontdekking. In oktober 2021 melde ESET alle ontdekte kwetsbaarheden aan Lenovo. In de lijst met getroffen toestellen zijn meer dan honderd laptops met wereldwijd miljoenen gebruikers.
“UEFI-bedreigingen kunnen bijzonder onopvallend en gevaarlijk zijn. Ze worden vroeg in het opstartproces uitgevoerd, vooraleer de controle wordt overgedragen aan het besturingssysteem. Dat betekent dat ze bijna alle beveiligingsmaatregelen en -beperkingen hoger in de stack kunnen omzeilen mocht het voorkomen dat de payloads van hun besturingssysteem worden uitgevoerd”, zegt ESET-onderzoeker Martin Smolár , die de kwetsbaarheden ontdekte. “Deze zogenaamde UEFI-achterdeuren tonen aan dat in sommige gevallen de UEFI-bedreigingen inzetten niet zo moeilijk is als verwacht. Het grote aantal real-world UEFI-bedreigingen dat de afgelopen jaren is ontdekt, suggereert dat hackers dit ook goed weten ”, voegt hij eraan toe.
Twee van deze kwetsbaarheden – CVE-2021-3970 en CVE-2021-3971 – worden misschien “veilige” achterdeuren genoemd die in de UEFI-firmware ingebouwd zijn, omdat het de naam is die gegeven wordt aan de Lenovo UEFI-stuurprogramma’s die een van hen implementeren ( CVE-2021-3971): SecureBackDoor en SecureBackDoorPeim. Deze ingebouwde backdoors kunnen geactiveerd worden om SPI-flashbeveiligingen (BIOS Control Register-bits en Protection Range-registers) of de UEFI Secure Boot-functie uit te schakelen vanuit een bevoorrechte gebruikersmodusproces tijdens de runtime van het besturingssysteem.
Bovendien ontdekte ESET bij het onderzoeken van de binaire bestanden van de “veilige” backdoors een derde kwetsbaarheid: SMM-geheugenbeschadiging binnen de SW SMI-handlerfunctie (CVE-2021-3972). Deze maakt willekeurig lezen/schrijven van/naar SMRAM mogelijk, wat kan leiden tot de uitvoering van kwaadaardige code met SMM-rechten en mogelijk ook tot de implementatie van een SPI-flashimplantaat.
De UEFI-opstart- en runtime-services bieden de basisfuncties en gegevensstructuren die nodig zijn om de stuurprogramma’s en apps hun werk te laten doen, zoals installeren van protocollen, lokaliseren van bestaande protocollen, geheugentoewijzing, UEFI-variabele manipulatie, enz. UEFI-opstartstuurprogramma’s en -apps gebruiken veel protocollen. UEFI-variabelen zijn een speciaal firmware-opslagmechanisme dat door UEFI-modules wordt gebruikt om verschillende configuratiegegevens op te slaan, inclusief opstartconfiguratie.
SMM is een bijzonder bevoorrechte uitvoeringsmodus van x86-processors. De code is in de context van de systeemfirmware geschreven en wordt meestal gebruikt voor verschillende taken zoals geavanceerd energiebeheer, uitvoering van OEM-eigen code en veilige firmware-updates.
“Alle echte UEFI-bedreigingen die tijdens de afgelopen jaren ontdekt zijn – LoJax, MosaicRegressor, MoonBounce, ESPecter, FinSpy – moeten de beveiligingsmechanismen op de een of andere wijze omzeilen of uitschakelen om ingezet en uitgevoerd te worden”, legt Smolár uit.
ESET Research benadrukt dat alle eigenaars van Lenovo-laptops de lijst met getroffen apparaten moeten doornemen en hun firmware bijwerken met de instructies van Lenovo.
Zij die End Of Development Support-apparaten gebruiken die door de UEFI SecureBootBackdoor (CVE-2021-3970) bedreigt zijn en waarvoor geen beschikbare fixes bestaan, kunnen zich beschermen tegen ongewenste wijzigingen van de UEFI Secure Boot-status door gebruik te maken van een TPM-gerichte volledig- schijfversleutelingsoplossing die schijfgegevens ontoegankelijk kan maken als de UEFI Secure Boot-configuratie verandert.
Voor meer technische info, lees de blog ‘ UEFI “secure” backdoors: Secure ways to get compromised’ op www.welivesecuritry.com . Volg ook ESET Research op Twitter voor het laatste nieuws van ESET Research.