Lenovo อาจเสี่ยงต่อการถูกโจมตีโดยมัลแวร์ตัวใหม่ผ่านทาง UEFI
แล็ปท็อป Lenovo หลายล้านเครื่องอาจเสี่ยงต่อการถูกโจมตีโดยมัลแวร์ตัวใหม่ผ่านทาง UEFI
นักวิจัย ESET เผยว่าช่องโหว่หลักของแล็ปท็อปถูกหาเจอได้ง่าย จากการที่ชื่อไดรฟเวอร์ของมันดัน “โชคร้าย” และ “ตรงไปตรงมา” สุดๆ
นักวิจัยของ ESET บริษัทรักษาความปลอดภัยทางไซเบอร์ ค้นพบช่องโหว่ 3 จุดที่ส่งผลกับแล็ปท็อปของ Lenovo ซึ่งอาจนำไปสู่การโดนโจมตีผ่านการบายพาส UEFI Secure Boot
ESET เผยว่า แล็ปท็อป Lenovo มากกว่าร้อยรุ่นและผู้ใช้หลายล้านคนอาจกำลังตกอยู่ในความเสี่ยงว่าจะโดนมัลแวร์จากทาง UEFI และยังไม่มีแพทช์อัพเดทที่ครอบคลุมสำหรับคนที่อาจได้รับผลกระทบทั้งหมดอีกด้วย
แล็ปท็อปจำนวนหนึ่งที่อาจถูกโจมตีนั้นผ่านการใช้งานมานานแล้วและไม่สามารถอัปเดตเป็นเวอร์ชันใหม่ได้อีกต่อไป ในกรณีเหล่านี้ ESET แนะนำให้ผู้ใช้ดาวน์โหลดโปรแกรมแอนตี้มัลแวร์ ที่สามารถสแกนหาไวรัสที่มาผ่าน UEFI ได้ และใช้โปรแกรมเข้ารหัสซึ่งเป็นรองรับ TPM แบบฟูลดิสก์ ที่จะทำให้มัลแวร์เข้าถึงข้อมูลในดิสก์ไม่ได้
ในส่วนของช่องโหว่ทั้งสามจุดที่ถูกพูดถึง สองในสามจุดก็คือ CVE-2021-3971 และ CVE-2021-3972 ซึ่งส่งผลกระทบโดยตรงกับไดรฟเวอร์เฟิร์มแวร์ของ UEFI ที่หลงเหลือมาจากขั้นตอนสุดท้ายของการผลิตอุปกรณ์ซึ่งถูกปล่อยผ่านมาจากความเข้าใจผิดในขั้นตอนการผลิต และกราฟฟิคของ BIOS ซึ่งอันที่จริงควรจะอยู่ในขั้นกระบวนการผลิตเท่านั้น ไดรฟเวอร์ทั้งสองตัวนี้ดึงดูดความสนใจของนักวิจัย ESET ได้ “ในทันที” ด้วยความที่มันโดนตั้งชื่อว่า SecureBackDoor และ SecureBackDoorPeim นั่นเอง
ESET บอกว่า ผู้โจมตีสามารถใช้ช่องทางเหล่านี้ในการปิดใช้งานการปกป้องหน่วยความจำแฟลชและ UEFI Secure Boot เพื่อใช้มัลแวร์ UEFI บนเครื่องที่โดน
มัลแวร์ UEFI ไม่ใช่เรื่องใหม่ แต่มีให้เห็นกันหลายครั้งแล้วในการจู่โจมร้ายแรงช่วงปีหลัง ๆ มานี้ อย่างเช่น Lojax ในปี 2018 หรือ ESPecter กับ MoonBounce ในปี 2021 การโจมตีประเภทนี้อาจตามรอยได้ยากเนื่องจากมัลแวร์อยู่ในหน่วยความจำแฟลช เหลือเพียงร่องรอยเล็กน้อยเท่านั้น
การโจมตีดังกล่าวยังยิ่งพัตนาเป็นเหนือชั้นขึ้นเรื่อย ๆ เพราะแม้แต่มัลแวร์ ESPecter ที่เป็น UEFI Bootkit ซึ่งยึดกั้นส่วน partition ของระบบ EFI ได้ ก็นับเป็นกรณีครั้งที่สองที่เกิดเหตุการณ์แบบนี้ในโลกจริงเท่านั้น โดยเชื่อกันว่าครั้งแรกน่าจะเป็นมัลแวร์ที่ชื่อ FinSpy ซึ่งถูกพบในปี 2021 โดย Kaspersky เช่นกัน
Lenovo ยังปล่อยแพทช์อัปเดตออกมาอีกหลายตัวซึ่งสามารถดาวน์โหลดได้จากเว็บไซต์และหน้าคำแนะนำของเว็บโดยตรง โดยยังระบุรายชื่ออุปกรณ์ที่ได้รับผลกระทบโดยตรงและประเด็นด้านความปลอดภัยที่เป็นช่องโหว่ ถึงแม้อุปกรณ์บางตัวจะยังต้องรอแพทช์อัปเดตสำหรับพวก CVE โดยเฉพาะก็ตามที ในกรณีเหล่านั้น Lenovo ได้ประมาณการณ์วันที่จะปล่อยแพทช์อัปเดตออกมาคร่าวๆ ไว้แล้ว
ส่วนช่องโหว่สุดท้ายและท้ายที่สุดที่เจอ คือ CVE-2021-3970 ซึ่งเป็นช่องโหว่จากตัว SMI Handler ชื่อ Lenovo Variable ซึ่งเป็นองค์ประกอบสำคัญที่ทำหน้าที่ตรวจจับและบันทึกความผิดพลาดของระบบ ซึ่งอาจเปิดช่องให้ผู้โจมตีที่เข้าถึงเครื่องได้และยกระดับสิทธิควบคุมเครื่องตามอำเภอใจได้
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ยังตอบรับแถลงการณ์เรื่องคำเตือนของ ESET และ Lenovo โดยเห็นด้วยว่าช่องโหว่อาจเป็นอันตรายได้ แม้ว่าจะไม่ได้อันตรายเท่าภัยคุกคามโดยเฉลี่ยตามโมเดลภัยคุกคามของทีมรักษาความปลอดภัยก็ตาม
“ช่องโหว่ UEFI ของ Lenovo เหล่านี้ไม่ได้เป็นไปตามโมเดลรูปแบบภัยคุกคามโดยเฉลี่ยทั่วไปของคุณ” Martijn Grooten นักวิเคราะห์ภัยคุกคามด้านความปลอดภัยบอก “แต่หากเกิดการยกระดับสิทธิจากผู้ดูแลระบบไปสู่ระดับที่แย่กว่านั้น โมเดลภัยคุกคามของคุณคือแย่แน่ ๆ”
ที่มา: https://bit.ly/3lxv2PQ