Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!
На прошлой неделе компания Lenovo выпустила обновление UEFI BIOS для более чем 50 модификаций ноутбуков. Патчи закрывают две из трех уязвимостей, которые позволяют обойти или отключить систему безопасности Secure Boot. В худшем случае подобная прореха позволяет вредоносной программе закрепиться в UEFI и восстанавливаться даже после полной переустановки операционной системы. Инцидент подробно описан в статье издания Ars Technica, на сайте Lenovo имеется бюллетень со списком пострадавших ноутбуков.
Уязвимости обнаружили специалисты компании ESET и описали их особенности в серии твитов. Полноценной публикации по ним первооткрыватели делать не стали, так как похожая проблема была ранее обнаружена в ноутбуках Lenovo в апреле этого года. Причина появления и более старых уязвимостей, и более свежих одинаковая: отладочные драйверы внутри прошивки UEFI, которые случайно были выпущены в общий доступ.
В списке пострадавших ноутбуков — ряд моделей ThinkBook, Yoga и Ideapad, всего примерно 25 штук без учета небольших модификаций одного и того же устройства. Ноутбуков серии ThinkPad в списке нет. В прошивке ноутбуков есть драйверы, которые, по идее, должны использоваться только внутри компании, для разработки и отладки устройств. Они позволяют напрямую из операционной системы модифицировать переменные в области памяти NVRAM, которые управляют процессом загрузки. Модификация переменных позволяет либо отключить Secure Boot полностью, либо модифицировать список запрещенного к запуску кода, чего в нормальной ситуации происходить не должно. Отключение «черного списка» модулей UEFI позволяет загрузить уязвимые драйверы. Три примера подобных драйверов были приведены в августе этого года в исследовании компании Eclypsium.
Отключить Secure Boot можно тремя разными способами в зависимости от модели, поэтому в патчах упоминаются три разных идентификатора CVE соответственно: CVE-2022-3430, CVE-2022-3431 и CVE-2022-3432. Первые две уязвимости были пропатчены с помощью обновления UEFI BIOS для моделей в списке. Третья уязвимость актуальна только для ноутбука Lenovo Ideapad Y700-14ISK. Патча для него нет, так как срок поддержки этой модели уже истек.
Что еще произошло:
Пожалуй, самое интересное исследование прошлой недели — про случайно обнаруженный способ обхода блокировки экрана на смартфоне Google Pixel. Исследователь Дэвид Шютц подробно описал всю историю в своем блоге (оригинал, перевод на Хабре). Для обхода блокировки достаточно было на включенном смартфоне вытащить сим-карту, вставить ее обратно (или поменять на другую), три раза ввести неправильный PIN-код, ввести PUK-код, поменять PIN, после чего «ларчик открывался» из-за логической ошибки. Исследователю после первоначального отказа все же выплатили за случайно обнаруженный баг 70 тысяч долларов.
Издание Bleeping Computer пишет про очередное вредоносное расширение для браузера Google Chrome (и других браузеров на базе движка Chromium). Бэкдор интересен широчайшей функциональностью: кража паролей и криптоключей из буфера обмена, открытие вкладок с произвольными сайтами, организация DDoS-атак, майнинг криптовалют. Расширение объединяет жертв в ботнет с возможностью удаленного управления. Распространяется вредоносная программа по неофициальным каналам, в том числе под видом «обновления для вашего Flash Player».
В рамках ежегодного отчета по безопасности эксперты «Лаборатории Касперского» опубликовали два материала с прогнозами на 2023 год: общие предсказания по эволюции угроз и отдельно — ожидания по развитию таргетированных атак.
Свежее исследование рассказывает о массовой атаке на веб-сайты под управлением WordPress. Цель атаки — «черное SEO», продвижение в результатах поиска фейковых форумов, сгенерированных под популярные запросы пользователей. С их помощью, как правило, распространяется вредоносное ПО.
Уязвимости обнаружили специалисты компании ESET и описали их особенности в серии твитов. Полноценной публикации по ним первооткрыватели делать не стали, так как похожая проблема была ранее обнаружена в ноутбуках Lenovo в апреле этого года. Причина появления и более старых уязвимостей, и более свежих одинаковая: отладочные драйверы внутри прошивки UEFI, которые случайно были выпущены в общий доступ.
В списке пострадавших ноутбуков — ряд моделей ThinkBook, Yoga и Ideapad, всего примерно 25 штук без учета небольших модификаций одного и того же устройства. Ноутбуков серии ThinkPad в списке нет. В прошивке ноутбуков есть драйверы, которые, по идее, должны использоваться только внутри компании, для разработки и отладки устройств. Они позволяют напрямую из операционной системы модифицировать переменные в области памяти NVRAM, которые управляют процессом загрузки. Модификация переменных позволяет либо отключить Secure Boot полностью, либо модифицировать список запрещенного к запуску кода, чего в нормальной ситуации происходить не должно. Отключение «черного списка» модулей UEFI позволяет загрузить уязвимые драйверы. Три примера подобных драйверов были приведены в августе этого года в исследовании компании Eclypsium.
Отключить Secure Boot можно тремя разными способами в зависимости от модели, поэтому в патчах упоминаются три разных идентификатора CVE соответственно: CVE-2022-3430, CVE-2022-3431 и CVE-2022-3432. Первые две уязвимости были пропатчены с помощью обновления UEFI BIOS для моделей в списке. Третья уязвимость актуальна только для ноутбука Lenovo Ideapad Y700-14ISK. Патча для него нет, так как срок поддержки этой модели уже истек.
Что еще произошло:
Пожалуй, самое интересное исследование прошлой недели — про случайно обнаруженный способ обхода блокировки экрана на смартфоне Google Pixel. Исследователь Дэвид Шютц подробно описал всю историю в своем блоге (оригинал, перевод на Хабре). Для обхода блокировки достаточно было на включенном смартфоне вытащить сим-карту, вставить ее обратно (или поменять на другую), три раза ввести неправильный PIN-код, ввести PUK-код, поменять PIN, после чего «ларчик открывался» из-за логической ошибки. Исследователю после первоначального отказа все же выплатили за случайно обнаруженный баг 70 тысяч долларов.
Издание Bleeping Computer пишет про очередное вредоносное расширение для браузера Google Chrome (и других браузеров на базе движка Chromium). Бэкдор интересен широчайшей функциональностью: кража паролей и криптоключей из буфера обмена, открытие вкладок с произвольными сайтами, организация DDoS-атак, майнинг криптовалют. Расширение объединяет жертв в ботнет с возможностью удаленного управления. Распространяется вредоносная программа по неофициальным каналам, в том числе под видом «обновления для вашего Flash Player».
В рамках ежегодного отчета по безопасности эксперты «Лаборатории Касперского» опубликовали два материала с прогнозами на 2023 год: общие предсказания по эволюции угроз и отдельно — ожидания по развитию таргетированных атак.
Свежее исследование рассказывает о массовой атаке на веб-сайты под управлением WordPress. Цель атаки — «черное SEO», продвижение в результатах поиска фейковых форумов, сгенерированных под популярные запросы пользователей. С их помощью, как правило, распространяется вредоносное ПО.
