Хакеры могут заразить более миллиона ноутбуков Lenovo неудаляемым вредоносным ПО — что известно

Ноутбуки Lenovo, которые многие любят за популярные модели от IBM (бизнес по производству ноутбуков которой Lenovo ранее выкупила), оказались подвержены довольно опасной уязвимости, которая позволяет прошить малварь практически на аппаратном уровне. Lenovo входит в топ-5 рейтинга мировых производителей ноутбуков, уязвимыми оказались около 100 ее моделей, в физическом выражении это более миллиона произведенных ноутбуков.

Что произошло

Компания Lenovo выпустила срочные обновления безопасности для более чем 100 моделей своих ноутбуков, устраняющие критические уязвимости, которые позволяют хакерам тайно устанавливать вредоносные микропрограммы, которые практически невозможно удалить или обнаружить.

Всего три уязвимости, затрагивающие более 1 миллиона ноутбуков, могут дать хакерам возможность модифицировать UEFI компьютера. По забавному стечению обстоятельств, UEFI изначально спроектирован, чтобы надежно защитить компьютер от проникновения вирусов и возможности гарантировать отсутствия любых закладок в ОС. 

UEFI — это программное обеспечение, обеспечивающее связь между микропрограммой устройства компьютера и его операционной системой. Это загрузчик, который запускается первым при включении практически любого современного компьютера, он является начальным и главным звеном в цепи построения безопасности. Поскольку UEFI физически находится во флэш-чипе на материнской плате, такое внедрение крайне трудно обнаружить и еще труднее удалить.

Трэммел Хадсон, исследователь компьютерной безопасности, специализирующийся на взломах прошивок, так резюмирует обнаруженные уязвимости:

«Судя по описанию, все эти уязвимости относятся к категории “о нет, только не это”, то есть являются критическими и доступны для продвинутых злоумышленников. Обход разрешений от SPI-флеш — это вообще очень печально».

Пока специалисты разбираются, как такое могло произойти, представитель ESET Мартин Смоларь утверждает, что на этих ноутбуках была установлена отладочная версия UEFI-прошивок, которая использовалась Lenovo для внутреннего тестирования продуктов:

«К сожалению, они были по ошибке включены и в производственные образы BIOS без надлежащей деактивации».

Что делать

Все три уязвимости носят следующие идентификационные номера: CVE-2021-3971 and CVE-2021-3972 CVE-2021-3970. Они уже изучены и хорошо задокументированы на соответствующих сайтах по компьютерной безопасности.

По этой ссылке можно ввести вашу модель ноутбука и проверить ее на наличие в списке уязвимых. Там же можно скачать обновление прошивки для последующей установки на свой компьютер.

Плохие новости

В случае установки подобного импланта возможен любой уровень контроля над компьютером (только в пределах фантазии самого злоумышленника), кроме того обнаружить такую малварь крайне сложно — это потребует долгого ручного изучения прошивки ноутбука и соответствующего уровня специалиста. Вероятно, будет дешевле купить новый чистый ноутбук, чем проводить подобную низкоуровневую форенсик-экспертизу.

Подвержены риску заражения ноутбуки Lenovo, которые сдаются в ремонт, даются посторонним людям для временного использования, длительное время остаются вне вашего контроля и наблюдения.

Хорошие новости

• Во-первых, фиксы всех трех уязвимостей уже готовы и доступны для загрузки. Их нужно скачать и установить на своем компьютере, обязательно подключив его к питанию в момент начала прошивки.
• Пока так называемые SPI-импланты — довольно редкая вещь, которую используют только спецслужбы. Можно привести два известных примера обнаружения таких имплантов в дикой природе. Одну из подобных закладок создал LoJax, хакер из группировки известной в сети под множеством имен: Sednit, Fancy Bear или APT 28. Точно известно, что LoJax работал на государственные структуры России. Еще один пример, это обнаружение Kaspersky Lab подобного импланта на компьютере дипломата одной из неназванных азиатских стран.
• И самое главное — для подобного хака нужен локальный доступ к вашему компьютеру, а также высокая квалификация самого хакера, что резко снижает вероятность подобной атаки против рядового пользователя.