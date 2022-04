В миллионах ноутбуков крупнейшего в мире производителя ПК живут «заводские бэкдоры»

Lenovo опубликовала информацию о ряде уязвимостей, присутствующих в системном программном обеспечении микросхемы UEFI (BIOS) по меньшей мере 100 моделей ноутбуков компании, пишет Bleeping Computer.

В общей сложности три проблемы безопасности такого рода было выявлено в портативных компьютерах китайского вендора. Уязвимости получили идентификаторы CVE-2021-3970, CVE-2021-3971 и CVE-2021-3972.

Две из них позволяют злоумышленнику отключить защиту чипа флеш-памяти SPI, которая несет прошивку UEFI, и деактивировать функцию безопасной загрузки (Secure Boot), позволяющую гарантировать загрузку исключительно того ПО, которому доверяет производитель оборудования. Наконец, последняя уязвимость дает возможной выполнение произвольного кода с повышенным уровнем привилегий при наличии у атакующего локального доступа к машине.

Уязвимости обнаружены специалистами словацкой компании Eset, которые уведомили Lenovo об их наличии в прошивках UEFI в октябре 2021 г. В числе моделей, подверженных данным проблемам безопасности, в частности, лаптопы IdeaPad 3, Legion 5 Pro-16ACH H и Yoga Slim 9-14ITL05. По оценке Bleeping Computer, бреши присутствуют в ПО нескольких миллионов устройств.

«Угрозы UEFI могут быть крайне труднообнаружимыми и опасными, – говорит исследователь Eset Мартин Смолар (Martin Smolár), выявивший проблемы. – Они выполняются в начале процесса загрузки, до передачи управления операционной системе, то есть способны обойти практически все меры безопасности, которые могли бы помешать выполнению вредоносной полезной нагрузки на уровне операционной системы».

Надо обновляться

Lenovo присвоила трио уязвимостей средний уровень опасности. В Eset отмечают, что злоумышленнику требуются права администратора для эксплуатации брешей. Вероятно, с этим и связан их невысокий уровень опасности в представлении вендора.

Тем не менее, компания рекомендует владельцам подверженных проблемам устройств как можно скорее обновить прошивку UEFI. Это можно сделать посредством предустановленного ПО для автоматической установки новых версий драйверов, либо вручную загрузив апдейт с портала поддержки Lenovo.

Последний способ на момент публикации данного материала не доступен пользователям, работающим из-под IP-адресов российских интернет-провайдеров – попытка загрузить файл обновления приводит к ошибке доступа: “Access Denied. You don’t have permission to access…”. Применение VPN позволяет обойти данное ограничение.

В марте 2022 г. CNews сообщил о наличии ряда уязвимостей в BIOS компьютеров американской компании Dell. С их помощью потенциальный злоумышленник может выполнить вредоносный код на подверженной проблеме машине.

«Случайные» бэкдоры

Вину за уязвимости CVE-2021-3971 и CVE-2021-3972 Lenovo возлагает на специальные отладочные драйверы, которые попали в прошивки UEFI якобы случайно. Согласно описанию брешей, опубликованному на портале поддержки компании, драйверы имеют «говорящие» имена – SecureBackDoor и SecureBackDoorPeim соответственно. Другими словами, ПО UEFI подверженных проблеме содержит заводские бэкдоры, по заявлению Lenovo, задействованные в производственном процессе.

Бэкдор (Backdoor или «черный ход») – это инструмент скрытого удаленного администрирования, построенный вокруг дефекта алгоритма, намеренно встроенного его разработчиками.

В сентябре 2018 г. тогдашний технический директор и глава стратегии бизнеса Lenovo в области ЦОДов Питер Хортенсиус (Peter Hortensius) заявил журналистам The Inquirer о готовности компании внедрять бэкдоры в свою продукцию, если этого потребует законодательство конкретного государства. Топ-менеджер отметил, что подобная практика является обычной для технологических компаний, выходящих на рынок Китая – родной для Lenovo. Однако, по его словам, компания не планирует позволять властям отдельных стран следить за владельцами ее продукции в глобальных масштабах.

В июле 2013 г. CNews писал о том, что британские разведывательные агентства, включая службу внутренней безопасности MI5 и службу внешней разведки MI6, отказались от использования продукции компании Lenovo. Запрет был введен после обширных тестов, по результатам которых службы пришли к выводу, что компьютеры Lenovo небезопасны по той причине, что содержат аппаратные бэкдоры и уязвимости в прошивках, которые позволяют получать удаленный контроль над системой без ведома пользователя.

Помимо Великобритании, письменный запрет на использование продукции Lenovo, по сообщению Financial Review, был введен в разведывательных службах США, Канады, Новой Зеландии и Австралии.

Крупнейший производитель ПК

По данным исследовательской компании IDC, Lenovo сохранила за собой мировое лидерство по объему поставленных компьютеров в I квартале 2022 г., несмотря на сокращение поставок на уровне 9,2% к I кварталу 2021 г.

Доля рынка, занятая китайским производителем ПК, за отчетный период сократилась с 23,7% до 22,7%. В числе главных преследователей Lenovo выступают американские HP (19,7% к 22,7%) и Dell Technologies (17,1% к 15,3%).