Η Lenovo κυκλοφόρησε μια συμβουλή ασφαλείας για να ενημερώσει τους πελάτες ότι περισσότεροι από 70 φορητοί υπολογιστές της επηρεάζονται από μια ευπάθεια UEFI/BIOS που μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα.
Ερευνητές της εταιρείας κυβερνοασφάλειας ESET ανακάλυψαν συνολικά τρεις ευπάθειες υπερχείλισης buffer που μπορούν να επιτρέψουν σε έναν εισβολέα με τοπικά προνόμια σε επηρεαζόμενες συσκευές Lenovo να εκτελέσει αυθαίρετο κώδικα. Ωστόσο, η Lenovo λέει ότι μόνο ένα από τα τρωτά σημεία (CVE-2022-1892) επηρεάζει όλες τις συσκευές, ενώ τα άλλα δύο επηρεάζουν μόνο λίγους φορητούς υπολογιστές.
«Τα τρωτά σημεία μπορούν να αξιοποιηθούν για την επίτευξη αυθαίρετης εκτέλεσης κώδικα στις πρώτες φάσεις της εκκίνησης της πλατφόρμας, επιτρέποντας πιθανώς στους εισβολείς να παραβιάσουν τη ροή εκτέλεσης του λειτουργικού συστήματος και να απενεργοποιήσουν ορισμένα σημαντικά χαρακτηριστικά ασφαλείας», εξήγησε.
«Αυτά τα τρωτά σημεία προκλήθηκαν από ανεπαρκή επικύρωση της παραμέτρου DataSize που μεταβιβάστηκε στη συνάρτηση UEFI Runtime Services GetVariable. Ένας εισβολέας θα μπορούσε να δημιουργήσει μια ειδικά διαμορφωμένη μεταβλητή NVRAM, προκαλώντας υπερχείλιση buffer της προσωρινής μνήμης δεδομένων στη δεύτερη κλήση GetVariable», πρόσθεσε.
Η Lenovo έχει επίσης ενημερώσει τους πελάτες για το Retbleed, μια νέα κερδοσκοπική επίθεση εκτέλεσης που επηρεάζει συσκευές με επεξεργαστές Intel και AMD.
Η εταιρεία έχει επίσης εκδώσει μια συμβουλή για μερικά τρωτά σημεία που επηρεάζουν πολλά προϊόντα που χρησιμοποιούν τη μηχανή διαχείρισης διακομιστή XClarity Controller. Αυτά τα ελαττώματα μπορούν να επιτρέψουν στους επαληθευμένους χρήστες να προκαλέσουν μια κατάσταση DoS ή να κάνουν μη εξουσιοδοτημένες συνδέσεις με εσωτερικές υπηρεσίες.
Οι ευπάθειες υλικολογισμικού δεν είναι ασυνήθιστες. Ενώ ορισμένα από αυτά αφορούν συγκεκριμένα προϊόντα ενός μόνο προμηθευτή, οι ερευνητές ανακάλυψαν επίσης ευπάθειες σε εξαρτήματα τρίτων κατασκευαστών που χρησιμοποιούνται από πολλούς κατασκευαστές.
Για παράδειγμα, η εταιρεία ασφάλειας υλικολογισμικού Binarly εντόπισε πρόσφατα σχεδόν δύο δωδεκάδες ευπάθειες στον κώδικα υλικολογισμικού InsydeH2O UEFI που χρησιμοποιείται από περισσότερους από 25 προμηθευτές, συμπεριλαμβανομένων των HP, Lenovo, Fujitsu, Microsoft, Intel, Dell, Bull και Siemens.
Ενώ το Insyde Software, ο κατασκευαστής του InsydeH2O, επιδιορθώνει τα τρωτά σημεία αφού ειδοποιήθηκε από το Binarly, μπορεί να χρειαστεί λίγος χρόνος μέχρι να υιοθετηθούν οι διορθώσεις από τους κατασκευαστές και να φτάσουν σε εκατομμύρια τελικούς χρήστες. Ο κατασκευαστής αρθρωτών και αναβαθμίσιμων φορητών υπολογιστών Framework μόλις πρόσφατα ενημέρωσε τους πελάτες για τη διαθεσιμότητα ενημερώσεων κώδικα για αυτές τις ατέλειες.