Lebih dari 100 komputer laptop konsumen Lenovo yang berbeda, yang digunakan oleh jutaan orang di seluruh dunia, mengandung kerentanan tingkat firmware yang memberi penyerang cara untuk menjatuhkan malware yang dapat bertahan pada sistem bahkan setelah penggantian hard drive atau menginstal ulang sistem operasi.
Dua dari kerentanan (CVE-2021-3971 dan CVE-2021-3972) melibatkan driver Unified Extensible Firmware Interface (UEFI) yang dimaksudkan untuk digunakan hanya selama proses manufaktur tetapi secara tidak sengaja berakhir menjadi bagian dari gambar BIOS yang dikirimkan bersama komputer. Yang ketiga (CVE-2021-3970) adalah bug korupsi memori yang berfungsi untuk mendeteksi dan mencatat kesalahan sistem.
ESET menemukan kerentanan dan melaporkannya ke Lenovo pada Oktober 2021. Pembuat perangkat keras minggu ini merilis pembaruan BIOS yang mengatasi kekurangan di semua model yang terpengaruh. Namun, pengguna harus menginstal pembaruan secara manual kecuali mereka memiliki alat otomatis Lenovo untuk membantu pembaruan.
Firmware UEFI memastikan keamanan dan integritas sistem saat komputer melakukan booting. Firmware berisi informasi yang secara implisit dipercayai dan digunakan komputer saat boot. Jadi, setiap kode berbahaya yang tertanam dalam firmware akan dijalankan bahkan sebelum komputer melakukan booting dan sebelum alat keamanan memiliki kesempatan untuk memeriksa sistem untuk kemungkinan ancaman dan kerentanan.
Dalam beberapa tahun terakhir, beberapa alat malware telah muncul yang dirancang untuk memodifikasi firmware UEFI untuk menginstal malware selama proses boot-up yang seharusnya aman. Salah satu contohnya adalah LoJax, rootkit tingkat firmware yang sangat persisten yang diamati ESET dan lainnya digunakan sebagai bagian dari kampanye malware yang lebih luas oleh grup Sednit Rusia. Contoh lain adalah MoonBounce, penetes malware tingkat firmware yang baru-baru ini diamati oleh peneliti dari Kaspersky sebagai bagian dari kampanye spionase dunia maya.
Martin Smolár, analis malware di ESET, mengatakan dua driver Lenovo yang salah dimasukkan dalam BIOS produksi tanpa dinonaktifkan dengan benar memberi penyerang cara untuk menyebarkan malware serupa pada perangkat konsumen Lenovo yang rentan.
“Eksploitasi kerentanan ini akan memungkinkan penyerang untuk secara langsung menonaktifkan perlindungan keamanan sistem yang penting,” kata Smolár. Penyerang dengan akses istimewa pada sistem yang rentan dapat dengan mudah mengaktifkan driver firmware lama dan menggunakannya untuk mematikan perlindungan seperti bit register kontrol BIOS, register rentang terlindungi, dan UEFI Secure Boot yang mencegah pengguna yang memiliki hak istimewa membuat perubahan pada firmware sistem. Akibatnya, eksploitasi kerentanan ini akan memungkinkan penyerang untuk mem-flash atau memodifikasi firmware dan mengeksekusi kode berbahaya, katanya.
Sementara itu, CVE-2021-3970, kerentanan ketiga yang ditemukan oleh peneliti ESET, memungkinkan pembacaan dan penulisan sewenang-wenang dari dan ke dalam System Management RAM (SM RAM) — atau memori yang menyimpan kode dengan hak istimewa manajemen sistem. Ini memberi penyerang kesempatan untuk mengeksekusi kode dengan hak istimewa manajemen sistem pada sistem yang rentan, kata ESET.
Dalam pernyataan yang dikirim melalui email, Lenovo berterima kasih kepada ESET karena telah memperingatkan perusahaan tentang kerentanan. “Driver telah diperbaiki, dan pelanggan yang memperbarui seperti yang dijelaskan dalam penasihat Lenovo dilindungi,” kata pernyataan itu. “Lenovo menyambut baik kolaborasi dengan peneliti BIOS saat kami meningkatkan investasi kami dalam keamanan BIOS untuk memastikan produk kami terus memenuhi atau melampaui standar industri.”
Penasihat perusahaan menggambarkan kelemahan tersebut sebagai tingkat keparahan sedang dan memungkinkan eskalasi hak istimewa bagi penyerang yang mengeksploitasinya. Perusahaan mengatakan CVE-2021-3970 dihasilkan dari validasi yang tidak memadai di beberapa model Lenovo. Lenovo mengaitkan dua kerentanan lainnya dengan kegagalannya untuk menonaktifkan dan menghapus driver yang digunakan dalam proses manufaktur yang lebih lama.
Saran tersebut juga mencakup petunjuk tentang di mana pengguna dengan perangkat yang terpengaruh dapat menemukan pembaruan BIOS yang sesuai dan bagaimana mereka harus menginstalnya.