Понад два десятки моделей ноутбуків Lenovo є вразливими для зламу, що відключає безпечне завантаження UEFI, а потім запускає непідписаний код або блокує завантаження пристрою.
Дослідники з компанії ESET розкрили вразливість та оголосили про неї 9 листопада – за день після того, як виробник ноутбуків випустив оновлення безпеки для 25 моделей пристроїв, перерахованих за посиланням. Власникам ноутбуків зі списку рекомендується оновити UEFI своїх пристроїв. При цьому Lenovo виправила лише дві вразливості із трьох.
ESET заявила, що вразливості, позначені як CVE-2022-3430, CVE-2022-3431 і CVE-2022-3432, дозволяють відключити безпечне завантаження UEFI або відкотити бази даних безпечного завантаження до заводського стану безпосередньо з операційної системи. Вимкнення або відновлення значень баз даних за замовчуванням дозволяє зловмиснику зняти обмеження, які зазвичай діють.
Виявлені вразливості можна використовувати, змінюючи змінні енергонезалежної пам’яті NVRAM, в якій зберігаються параметри завантаження. Уразливості є результатом того, що Lenovo помилково постачає ноутбуки з драйверами, призначеними для використання лише у процесі виробництва. Більш детальна характеристика кожної з уразливостей:
Lenovo виправила лише перші дві вразливості. Проблему CVE-2022-3432 не буде виправлено, оскільки компанія вже кілька років не підтримує модель ноутбука Ideapad Y700-14ISK.
Джерело: Ars Technica