Хакери можуть заразити більше мільйона ноутбуків Lenovo шкідливим ПЗ, що не видаляється, — що відомо

Ноутбуки Lenovo, які багато хто любить за популярні моделі від IBM (чий бізнес з виробництва ноутбуків раніше Lenovo викупила), виявилися схильні до досить небезпечної вразливості, яка дозволяє прошити малвар практично на апаратному рівні. Lenovo входить до першої п’ятірки рейтингу світових виробників ноутбуків, уразливими виявилися приблизно 100 її моделей, у фізичному вираженні це понад мільйон вироблених ноутбуків.

Що сталося

Компанія Lenovo випустила термінові оновлення безпеки для більш ніж 100 моделей своїх ноутбуків, щоб усунути критичні вразливості, які дозволяють хакерам таємно встановлювати шкідливі мікропрограми, що практично неможливо видалити або виявити.

Усього три вразливості, що стосуються понад 1 мільйона ноутбуків, можуть дати хакерам можливість модифікувати UEFI комп’ютера. За смішним збігом обставин UEFI від початку спроєктували, щоб надійно захистити комп’ютер від проникнення вірусів і гарантувати відсутність будь-яких закладок в ОС.

UEFI – це програмне забезпечення, що забезпечує зв’язок між мікропрограмою пристрою комп’ютера та його операційною системою. Це завантажувач, який запускається першим при включенні практично будь-якого сучасного комп’ютера, він є початковою та головною ланкою в ланцюзі побудови безпеки. Оскільки UEFI фізично знаходиться у флешчипі на материнській платі, таке впровадження вкрай важко виявити та ще важче видалити.

Треммел Хадсон, дослідник комп’ютерної безпеки, що спеціалізується на зломах прошивок, так резюмує виявлені вразливості:

«Судячи з опису, усі ці вразливості відносяться до категорії “ні, тільки не це”, тобто є критичними і доступні для просунутих зловмисників. Обхід дозволів від SPI-флеш — це взагалі дуже сумно».

Поки фахівці розбираються, як таке могло статися, представник ESET Мартін Смолар стверджує, що на цих ноутбуках встановили налагоджувальну версію UEFI-прошивок, яка використовувалася Lenovo для внутрішнього тестування продуктів:

«На жаль, вони були помилково включені і у виробничі образи BIOS без належної деактивації».

Що робити

Усі три вразливості мають такі ідентифікаційні номери: CVE-2021-3971 and CVE-2021-3972 CVE-2021-3970. Вони вже вивчені та добре задокументовані на відповідних сайтах з комп’ютерної безпеки.

За цим посиланням можна ввести вашу модель ноутбука і перевірити її на наявність у списку вразливих. Там також можна завантажити оновлення прошивки для подальшої установки на свій комп’ютер.

Погані новини

У разі встановлення подібного імпланта можливий будь-який рівень контролю над комп’ютером (тільки в межах фантазії самого зловмисника), крім того, виявити такий малвар вкрай складно – це потребуватиме тривалого ручного вивчення прошивки ноутбука та відповідного рівня спеціаліста. Ймовірно, буде дешевше купити новий чистий ноутбук, ніж проводити подібну низькорівневу форенсик-експертизу.

Піддаються ризику зараження ноутбуки Lenovo, які здаються в ремонт, даються стороннім людям для тимчасового використання, тривалий час залишаються поза вашим контролем і спостереженням.

Добрі новини

• По-перше, фікси всіх трьох вразливостей уже готові та доступні для завантаження. Їх потрібно завантажити та встановити на своєму комп’ютері, обов’язково під’єднавши його до живлення в момент початку прошивки.
• Поки що так звані SPI-імпланти — досить рідкісна річ, яку використовують лише спецслужби. Можна навести два відомі приклади виявлення таких імплантів у дикій природі. Одну з подібних закладок створив LoJax, хакер з угруповання, що відоме в мережі під безліччю імен: Sednit, Fancy Bear або APT 28. Достеменно відомо, що LoJax працював на державні структури росії. Ще один приклад — це виявлення Kaspersky Lab подібного імпланта на комп’ютері дипломата однієї з неназваних азійських країн.
• І найголовніше — для подібного хаку потрібен локальний доступ до вашого комп’ютера, а також висока кваліфікація самого хакера, що різко знижує ймовірність атаки проти рядового користувача.