Notebooky tejto značky majú v sebe závažnú bezpečnostnú dieru, upozorňujú odborníci z ESETu!
Vo viacerých modelových radoch notebookov spoločnosti Lenovo bola objavená až trojica závažných kritických chýb.
Kybernetickí odborníci zo spoločnosti ESET objavili vo viacerých zariadeniach od spoločnosti Lenovo závažné bezpečnostné chyby, ktoré otvárajú potencionálnym útočníkom zadné vrátka. Konkrétne ide až o trojicu bezpečnostných chýb, ktoré môžu viesť k útokom eskalácie lokálnych privilégií (LPE). O bližších detailoch o samotných bezpečnostných chybách informoval bezpečnostný výskumník spoločnosti ESET Martin Smolár.
Zabudnuté chyby z výrobného procesu
Chyby si od bezpečnostných výskumníkov vyslúžili kódové označenia CVE-2021-3970, CVE-2021-3971 a CVE-2021-3972. Na prvú spomínanú chybu výskumníci narazili až po bližšom skúmaní dvojice chýb CVE-2021-3971 a CVE-2021-3972. Tie ovplyvňujú ovládače firmvéru UEFI, ktoré boli pôvodne vytvorené iba pre použitie počas výrobného procesu. Nechtiac sa však tieto chyby následne dostali aj do produkčných obrazov BIOSu. V produkčných obrazoch však nedošlo ku ich korektnej deaktivácii, čo otvára dvere potencionálnym útočníkom. Spoločnosť Lenovo pridala ku jednotlivým chybám aj ich bližšie špecifikácie.
- CVE-2021-3970: Potenciálna zraniteľnosť v LenovoVariable SMI Handler v dôsledku nedostatočného overenia v niektorých modeloch notebookov Lenovo môže umožniť útočníkovi s lokálnym prístupom a zvýšenými oprávneniami spustiť ľubovoľný kód.
- CVE-2021-3971: Potenciálna zraniteľnosť ovládača používaná počas starších výrobných procesov na niektorých spotrebiteľských prenosných zariadeniach Lenovo, ktorá bola omylom zahrnutá do obrazu systému BIOS, by mohla umožniť útočníkovi so zvýšenými oprávneniami upraviť oblasť ochrany firmvéru úpravou premennej NVRAM.
- CVE-2021-3972: Potenciálna zraniteľnosť ovládača použitého počas výrobného procesu na niektorých spotrebiteľských prenosných zariadeniach Lenovo, ktorá nebola omylom deaktivovaná, môže útočníkovi so zvýšenými oprávneniami umožniť upraviť nastavenie bezpečného zavádzania úpravou premennej NVRAM.
Ohrozené sú viaceré populárne modely
Zraniteľnosti sa týkajú hneď niekoľkých modelových radov notebookov nevynímajúc nové notebooky od spoločnosti Lenovo. Ovplyvnené sú tak zariadenia s miliónmi používateľov. Celý zoznam dotknutých zariadení nájdete aj na stránkach výrobcu. V skratke však uvedieme, že medzi dotknuté zariadenia patria aj známe modely ako IdeaPad-3, Yoga Slim-9 či viaceré populárne modely z herne ladenej modelovej rady Legion.
Aktualizácie sú už k dispozícii pre väčšinu zariadení
Jednotlivé zraniteľnosti však nepatria medzi úplne čerstvo objavené novinky. Spoločnosť ESET o nich výrobcu totižto informovala už 11. októbra 2021. Od tejto doby spoločnosť Lenovo pracovala na bezpečnostných záplatách, ktoré sa pomaly ale isto dostávajú na väčšinu dotknutých zariadení. Na niektoré zariadenia však dôjde rad až v nasledujúcom mesiaci. Dostupnosť aktualizácií pre jednotlivé modely nájdete taktiež priamo na stránkach výrobcu.
Komentáre