חולשות אבטחה חמורות התגלו במאות מדגמי הניידים של לנובו

לוגו לנובו צילום: רונן מנדזיצקי

חברת אבטחת המידע ESET איתרה 3 חולשות אבטחה במנגנון ה-UEFI במחשבים הניידים של חברת לנובו (Lenovo), שאוחדו תחת קוד הזיהוי LEN-73440.

חולשות האבטחה החדשות משפיעות על יותר מ-100 דגמי ניידים שונים של לנובו ומאפשרות לפורצים להריץ עליהם קוד זדוני, אך לנובו כבר הספיקה לפרסם עדכוני UEFI שנועדו לתקן את פרצות האבטחה החדשות.

מה זה UEFI?

על מנת להבין מדוע חולשות אבטחה ב-UEFI נחשבות לבעייתיות במיוחד בעולם המחשוב, יש להבין מהו למעשה ה-UEFI (ר"ת Unified Extensible Firmware Interface) או "ממשק קושחה מורחב מאוחד".

מדובר למעשה על שכבת קושחה הנועדה לקשר בין החומרה במחשב למערכת ההפעלה, כאשר היא החליפה את הביוס (BIOS) הוותיק והמיושן. הדגש הגדול הוא על כך שה-UEFI, בדומה ל-BIOS, מופעל עוד בטרם עולה מערכת ההפעלה עם מנגנוני האבטחה שלה.

איך עובדות חולשות האבטחה

שלוש חולשות האבטחה החדשות שהתגלו על ידי ESET ודווחו ללנובו עוד באוקטובר 2021 אוחדו תחת קוד הזיהוי LEN-73440, כאשר הן משפיעות על מעל 100 דגמים שונים מסדרות ה-IdeaPad, Legion, Yoga ועוד (לרשימה המלאה).

מתוך שלוש חולשות האבטחה החדשות, חולשות ה-CVE-2021-3970 ו-CVE-2021-3971 משפיעות על מנגנוני דלת אחורית "בטוחים" של לנובו הקיימים ב-UEFI הרשמים בשם SecureBackDoor ו-SecureBackDoorPeim, כאשר פרצות האבטחה בדלתות האחוריות הללו מאפשרות לפורצים לפגוע במנגנון ה-UEFI Secure Boot שנועד להגן על המחשב מפני שינויים לא מורשים.

חולשת האבטחה השלישית מזוהה כ-CVE-2021-3972 ואינה קשורה למנגנון ה-UEFI Secure Boot אלא ל-SMM (ר"ת System Management Mode), שכבת הגנה נפרדת הקיימת במעבדי x86 ונועדה לנהל משימות שונות כמו ניהול חשמל מתקדם, שליטה בחומרה או הפעלה של קוד יעודי על ידי יצרנים.

בעוד שבמקרה רגיל ה-SMM איננו נגיש אלא דרך ה-UEFI או ה-BIOS, הפרצה החדשה מאפשרת קריאה וכתיבה לא מוגנת לזיכרון ה-SMRAM השמור ל-SMM ולהריץ דרכו קוד זדוני.

מרטין סמולאר (Martin Smolár), חוקר האבטחה של ESET שגילה את החולשות, מסר:

איומי UEFI יכולים לחמוק מגילוי בקלות והינם מסוכנים מאוד. הם מופעלים בשלב מוקדם של תהליך ההפעלה, לפני שהשליטה מועברת למערכת ההפעלה, מה שאומר שהם יכולים לעקוף את הרוב המוחלט של אמצעי ההגנה שפועלים בשלב מאוחר יותר ויכלו למנוע את הרצת המטען הזדוני שלהם. הדלתות האחוריות ״הבטוחות״ שגילינו ב-UEFI מראות שבמקרים מסוימים, שליחת איומי UEFI קלה יותר מהמצופה, והכמות ההולכת וגדלה של איומי UEFI אותנטיים שהתגלו בשנים האחרונות מראה שגם עברייני הסייבר מודעים לכך.

כל איומי ה-UEFI האותנטיים שהתגלו בשנים האחרונות – LoJax, MosaicRegressor, MoonBounce, ESPector ו-FinSpy – נדרשו לעקוף או לכבות את מנגנוני האבטחה באופן מסוים כדי שניתן יהיה לשלוח ולהפעיל אותם.

בתגובה לגילוי שלושת פרצות האבטחה החדשות, מחברת לנובו נמסר כי:

לנובו מודה ל- ESET על שהביאה לתשומת ליבנו סוגיה בדרייברים המשמשים בייצור כמה מדגמי הקונסיומר שלנו. הדרייברים תוקנו, ולקוחות המבצעים עדכון כפי שמפורט ב- Lenovo advisory מוגנים. אנחנו בלנובו מברכים כל שיתוף פעולה עם חוקרי BIOS , כשבמקביל אנחנו מרחיבים את השקעותינו באבטחת BIOS כדי להבטיח שהמוצרים שלנו ימשיכו לעמוד ולהתעלות על תקני התעשייה.

משתמשים המחזיקים בניידי לנובו הפגיעים לחולשות האבטחה החדשות מתבקשים לבצע בהקדם עדכון ביוס על מנת לתקן אותן.

לפי ESET, חולשת ה-CVE-2021-3970 קיימת גם בדגמי ניידים שכבר אינם נתמכים על ידי לנובו, מה שמונע מהם לקבל תיקון רשמי על ידי החברה, אך הם יכולים להגן על המחשבים שלהם מפני תוקפים זדוניים על ידי הפעלת הצפנת כונן באמצעות ה-TPM (ר"ת Trusted Platform Module), המאפשר חסימת גישה למידע בכונן במידה ויש שינוי ב-Secure Boot ב-UEFI.


חלק מהפוסטים באתר כוללים קישורי תכניות שותפים, עבורם נקבל עמלה עם ביצוע רכישה בפועל של מוצרים. עמלה זו לא מייקרת את העלות הסופית של המוצרים עבורכם.

הסקירות והתכנים המופיעים באתר מהווים המלצה בלבד, וכך יש להתייחס אליהם. כל המחירים המופיעים באתר נכונים ליום הפרסום בלבד והאחריות לקניית מוצר או שירות כזה או אחר מוטלת עליך בלבד – השימוש באתר בהתאם לתנאי השימוש והפרטיות.

השוואת מפרטים