حذر باحثون الأربعاء من أن أكثر من عشرين طرازًا من أجهزة الكمبيوتر المحمول من Lenovo معرضة للاختراقات الضارة التي تعطل عملية التمهيد الآمن UEFI ثم تقوم بتشغيل تطبيقات UEFI غير الموقعة أو تحميل برامج تحميل التمهيد التي تخطف جهازًا بشكل دائم.

في الوقت نفسه قال باحثون من شركة الأمن ESET كشف نقاط الضعفصانع الكمبيوتر المحمول إصدار تحديثات الأمان لـ 25 طرازًا ، بما في ذلك ThinkPads و Yoga Slims و IdeaPads. يمكن أن تكون الثغرات الأمنية التي تعرض التمهيد الآمن لـ UEFI خطيرة لأنها تسمح للمهاجمين بتثبيت البرامج الثابتة الضارة التي تنجو من عمليات إعادة تثبيت نظام التشغيل المتعددة.

ليست شائعة ، بل نادرة

اختصار لـ Unified Extensible Firmware Interface ، UEFI هو البرنامج الذي يربط البرامج الثابتة لجهاز الكمبيوتر بنظام التشغيل الخاص به. كأول جزء من التعليمات البرمجية يتم تشغيله عند تشغيل أي جهاز حديث تقريبًا ، فهو أول رابط في سلسلة الأمان. نظرًا لأن UEFI موجود في شريحة فلاش على اللوحة الأم ، فمن الصعب اكتشاف العدوى وإزالتها. التدابير النموذجية مثل مسح القرص الصلب وإعادة تثبيت نظام التشغيل ليس لها تأثير كبير لأن عدوى UEFI ستعيد إصابة الكمبيوتر بعد ذلك.

قالت ESET إن الثغرات الأمنية – التي تم تتبعها كـ CVE-2022-3430 و CVE-2022-3431 و CVE-2022-3432 – “تسمح بتعطيل التمهيد الآمن لـ UEFI أو استعادة قواعد بيانات التمهيد الآمن الافتراضية (بما في ذلك dbx): ببساطة من نظام التشغيل. ” يستخدم التمهيد الآمن قواعد البيانات للسماح بالآليات ورفضها. تقوم قاعدة بيانات DBX ، على وجه الخصوص ، بتخزين تجزئات التشفير للمفاتيح المرفوضة. ويسمح تعطيل أو استعادة القيم الافتراضية في قواعد البيانات للمهاجم بإزالة القيود التي قد تكون في مكانها الطبيعي.

قال باحث أمن البرامج الثابتة ، الذي فضل عدم ذكر اسمه ، في مقابلة: “تغيير الأشياء في البرامج الثابتة لنظام التشغيل ليس شائعًا ، إن لم يكن نادرًا”. “يعني معظم الأشخاص أنه لتغيير البرامج الثابتة أو إعدادات BIOS ، يجب أن يكون لديك وصول مادي لمزج زر LED عند التمهيد للدخول في الإعداد والقيام بالأشياء هناك. عندما يمكنك القيام ببعض الأشياء من نظام التشغيل ، فهذه مشكلة كبيرة.

يتيح تعطيل التمهيد الآمن لـ UEFI للمهاجمين تشغيل تطبيقات UEFI الضارة ، وهو أمر غير ممكن عادةً لأن التمهيد الآمن يتطلب توقيع تطبيقات UEFI بشكل مشفر. وفي الوقت نفسه ، تسمح استعادة DBX الافتراضي للمهاجمين بتحميل محمل الإقلاع الضعيف. في أغسطس ، باحثون من شركة الأمن Eclypsium حددت ثلاثة برامج تشغيل مهمة والتي يمكن استخدامها لتجاوز التمهيد الآمن عندما يمتلك المهاجم امتيازات مرتفعة ، مثل المسؤول على Windows أو الجذر على Linux.

يمكن استغلال الثغرات الأمنية عن طريق تغيير المتغيرات في NVRAM ، ذاكرة الوصول العشوائي غير المتطايرة التي تخزن خيارات التمهيد المختلفة. تنتج الثغرات الأمنية عن قيام Lenovo بشحن أجهزة الكمبيوتر المحمولة عن طريق الخطأ مع برامج تشغيل مخصصة للاستخدام فقط أثناء عملية التصنيع. نقاط الضعف هي:

• CVE-2022-3430: قد تسمح إحدى الثغرات الأمنية المحتملة في برنامج تشغيل تكوين WMI على أجهزة كمبيوتر محمولة من نوع Lenovo معينة للمستهلكين لمهاجم ذي امتيازات عالية بتعديل إعدادات التمهيد الآمن عن طريق تعديل متغير NVRAM.
• CVE-2022-3431: قد تسمح الثغرة الأمنية المحتملة في برنامج التشغيل المستخدم أثناء عملية التصنيع على أجهزة كمبيوتر Lenovo المحمولة للمستهلكين والتي لم يتم تعطيلها عن طريق الخطأ لمهاجم مرتفع بتعديل إعداد Secure Boot عن طريق تعديل متغير NVRAM.
• CVE-2022-3432: قد تسمح الثغرة الأمنية المحتملة في برنامج التشغيل المستخدم أثناء عملية التصنيع على Ideapad Y700-14ISK التي لم يتم تعطيلها عن طريق الخطأ لمهاجم مرتفع بتعديل إعداد التمهيد الآمن عن طريق ضبط متغير NVRAM.

تقوم Lenovo فقط بتصحيح الأولين. لن يتم إصلاح CVE-2022-3432 لأن الشركة لم تعد تدعم Ideapad Y700-14ISK ، طراز الكمبيوتر المحمول المتأثر المنتهي الصلاحية. يجب على الأشخاص الذين يستخدمون أيًا من النماذج الضعيفة الأخرى تثبيت التصحيحات في أسرع وقت ممكن.

اذهب إلى الدردشة …