חברת אבטחת המידע ESET איתרה חולשות במחשבים הניידים של חברת לנובו, המאפשרות לתוקפים לשלוח ולהפעיל בהצלחה נוזקות UEFI דוגמת LoJax ו-ESPecter. יש לציין, כי המחשבים של לנובו מובילים את נתח השוק של המחשבים האישיים בישראל נכון לשנת 2021.
UEFI היא קושחה שנמצאת בשבב בלוח האם במחשב, אשר מטרתה לקשר בין החומרה (המחשב הפיזי) לבין התוכנה (מערכת ההפעלה). מדובר במערכת שעולה לפני עליית מערכת ההפעלה, ובה ניתן לבצע הגדרות שונות על המחשב. באמצעות המערכת נבדקים רכיבי המחשב על מנת לוודא שהם תקינים והמחשב יכול להמשיך בהעלאת מערכת ההפעלה בצורה תקינה.
ESET דיווחה לחברת לנובו באוקטובר 2021 על כל החולשות שהתגלו. רשימת המחשבים החשופים לחולשה מונה יותר מ-100 דגמים שונים אשר נמצאים אצל מיליוני משתמשים בכל רחבי העולם.
"איומי UEFI יכולים לחמוק מגילוי בקלות והינם מסוכנים מאוד. הם מופעלים בשלב מוקדם של תהליך ההפעלה, לפני שהשליטה מועברת למערכת ההפעלה, מה שאומר שהם יכולים לעקוף את הרוב המוחלט של אמצעי ההגנה שפועלים בשלב מאוחר יותר ויכלו למנוע את הרצת המטען הזדוני שלהם", אומר חוקר ESET, מרטין סמולאר, שגילה את החולשות. "הדלתות האחוריות 'הבטוחות' שגילינו ב-UEFI מראות שבמקרים מסוימים, שליחת איומי UEFI קלה יותר מהמצופה, והכמות ההולכת וגדלה של איומי UEFI אותנטיים שהתגלו בשנים האחרונות מראה שגם עברייני הסייבר מודעים לכך", הוא מוסיף.
שירותי ההפעלה וזמן הריצה של ה-UEFI הם אלו המאפשרים את הפונקציות ומבני הנתונים הבסיסיים שנחוצים לפעילות של דרייברים ותוכנות, כמו התקנת פרוטוקולים, איתור פרוטוקולים קיימים, הקצאת זיכרון, ביצוע שינויים במשתני UEFI וכו׳.
"כל איומי ה-UEFI האותנטיים שהתגלו בשנים האחרונות – LoJax, MosaicRegressor, MoonBounce, ESPector ו-FinSpy – נדרשו לעקוף או לכבות את מנגנוני האבטחה באופן מסוים כדי שניתן יהיה לשלוח ולהפעיל אותם״, מסביר סמולאר.
ESET ממליצה בחום לכל מחזיקי המחשבים הניידים מבית לנובו לעבור על רשימת המחשבים שמושפעים מהחולשה ולעדכן את הקושחה שלהם לפי הנחיות היצרן.