固件漏洞可以在Lenovo Thinkpad上打败新的Windows安全功能
一个新发布的漏洞利用可以禁用Lenovo Thinkpads的关键固件区域的写保护,以及来自其他供应商的笔记本电脑。许多新的Windows安全功能,如安全引导,虚拟安全模式和凭据警卫,取决于锁定的低级固件。
被称为Thinkpwn的漏洞利用本周早些时候由一名名叫Dmytro Oleksiuk的研究员发布,他没有提前与联想分享。这使得它成为零点利用 - 在其披露时没有可用的修补程序。
ThinkPWN在统一的可扩展固件接口(UEFI)驱动程序中,允许攻击者删除闪存写保护并在SMM(系统管理模式)中执行Rogue代码,CPU的特权操作模式。
根据Oleksiuk的说法,漏洞利用可用于禁用安全引导,一个UEFI功能,该功能在加密上验证OOR引导加载程序的真实性以防止引导级rootkits。利用还可以打败使用基于虚拟化的安全性的Windows 10的凭证保护功能,以防止企业域凭据盗窃,并执行“其他邪恶的事情”。
UEFI被设计为传统BIOS(基本输入/输出系统)的替代品,并旨在通过参考规范标准化现代计算机固件。但是,计算机制造商之间的实现仍然可以大幅度变化。
CPU和CPU和芯片组供应商提供的参考规范由Intel和AMD等少数独立BIOS供应商(IBV)使用,以创建自己的实现,然后将其许可的PC制造商许可。PC供应商从IBV获取这些实现,并进一步自定义它们。
据联想介绍,Oleksiuk发现的脆弱性并不是在自己的UEFI代码中,但在向公司提供的实施中至少有一个IBV被命名为。
“联想正在从事其所有IBV和英特尔,以识别或排除由其他IBV提供给Lenovo的BIOS中的漏洞中的任何其他情况,以及易受攻击的代码的原始目的,”公司星期四在咨询中说。
问题的全部范围尚未确定,因为该漏洞可能会影响其他供应商,除了联想。在GitHub上的ThinkPwn Notes中,Oleksiuk表示,它看起来是Intel参考码的漏洞,为其8系列的芯片组,但在2014年的某个时候已修复。
研究人员表示,“目前存在具有此漏洞的旧英特尔代码的高可能性,目前存在于其他OEM / IBV供应商的固件中。”
联想咨询也提示这可能是一个更广泛的问题,通过将影响范围列为“产业范围内”。
ThinkPwn Exploit以使用UEFI Shell实现的是需要从USB闪存驱动器执行的UEFI应用程序。这需要对目标计算机进行物理访问,这限制了可以使用它的攻击者。
但是,Oleksiuk表示,随着更多的努力,有可能利用运行操作系统内部的漏洞,这意味着它可以通过恶意软件进行定位。
有些例子是恶意软件将恶意代码注入UEFI以增加持久性和隐身。例如,意大利监控软件制造商黑客团队在其阿森纳拥有一个Uefi Rootkit。