Meer dan 100 modellen van Lenovo zijn vatbaar voor drie ernstige kwetsbaarheden. Sommige modellen draaien op een BIOS die uitsluitend bedoeld is voor fabrikanten, maar dankzij een slordigheid in handen van gebruikers is komen te liggen.
Martin Smolár, securityonderzoeker bij ESET, vond de kwetsbaarheden in de drivers van Lenovo notebooks. Lenovo publiceerde een firmware update voor elk getroffen apparaat. Gebruik je een Lenovo-model, controleer dan allereerst of jouw apparaat in de lijst staat. Sommige modellen worden door alle drie de kwetsbaarheden geraakt.
CVE-2021-3970, 3971 en 3972
Twee van de kwetsbaarheden (CVE-2021-3971 en CVE-2021-3972) komen voort uit drivers die nooit in devices hadden moeten belanden. In de BIOS van sommige modellen vind je drivers die uitsluitend zijn bedoeld voor fabrikanten. Lenovo vergat de drivers te verwijderen, of is nooit op de hoogte geweest van het probleem. De veiligheidsstandaarden van commerciële drivers ontbreken. Hackers kunnen bijvoorbeeld UEFI Secure Boots omzeilen, wat het mogelijk maakt om eigen firmware op een apparaat te pushen.
Dergelijke misbruik is relatief zeldzaam. Traditionele malware manipuleert firmware om zichzelf op een apparaat toe te staan. De eerdergenoemde kwetsbaarheden maken het mogelijk om delen van de firmware te vervangen, waardoor het vrijwel onmogelijk wordt om een apparaat te herstellen. Trickbot is een van de beruchtste malwarevormen die het mogelijk maakt om de firmware van een apparaat te herschrijven.
Over de derde kwetsbaarheid (CVE-2021-3970) is weinig bekend. Lenovo vertelt dat lokale gebruikers in staat zijn om code uit te voeren zonder tussenkomst van securitymaatregelen. Er is geen bewijs van misbruik in de praktijk. Dat geldt voor elke kwetsbaarheid. Er werden geen slachtoffers gemaakt, maar getroffen devices lopen wel degelijk risico — al helemaal nu de kwetsbaarheden bekend zijn.
Ernst?
De kwetsbaarheden kunnen niet worden misbruikt zonder lokale toegang en machtiging. Met andere woorden: een aanvaller moet volledige controle hebben over een apparaat, met het hoogste machtigingsniveau. Dat is een hoge lat.
Tip: Maak cybersecurity niet het probleem van eindgebruikers