Blunder met drivers bedreigt 25 Lenovo-laptops
Door een fout met de drivers hangt er een groot veiligheidsrisico vast aan maar liefst 25 laptops van het merk Lenovo. Het veiligheidslek werd vandaag bekend gemaakt door onderzoekers van ESET, nadat Lenovo updates uitstuurde die de laptops weer veilig moeten maken. Tussen de modellen zitten verschillende ThinkPads en IdeaPads. Unified Extensible Firmware Interface CVE-2022-3430, […]
Door een fout met de drivers hangt er een groot veiligheidsrisico vast aan maar liefst 25 laptops van het merk Lenovo. Het veiligheidslek werd vandaag bekend gemaakt door onderzoekers van ESET, nadat Lenovo updates uitstuurde die de laptops weer veilig moeten maken. Tussen de modellen zitten verschillende ThinkPads en IdeaPads.
Unified Extensible Firmware Interface
CVE-2022-3430, -3431 en -3432, zoals de veiligheidslekken genoemd werden, zorgen voor problemen in het UEFI-gedeelte van de laptops. UEFI is de afkorting van ‘Unified Extensible Firmware Interface’ en is het programma dat het grotendeels van de BIOS heeft overgenomen. Nieuwe Windows-installaties gebruiken het tegenwoordig altijd, omdat UEFI over het algemeen veiliger geacht wordt dan de BIOS.
In een serie tweets zeggen de onderzoekers van ESET dat de fout met de drivers ervoor zorgde dat de ‘Secure Boot’-functie kon worden uitgeschakeld. Die functie zorgt ervoor dat niet zomaar alle software kan worden uitgevoerd tijdens het opstarten van je pc. Eenmaal de functie uitgeschakeld is, is dat wel mogelijk. Normaal gezien is er, om op zulke manier een systeem binnen te dringen, fysieke toegang tot het apparaat nodig. Het UEFI-gedeelte van een computer zou namelijk niet meer toegankelijk mogen zijn na het opstarten van je computer. Als je er toch binnen wil geraken, moet je tijdens het opstarten van de pc op de ‘del’-toets duwen.
Bij deze veiligheidslekken kon die toegang gewoon vanop afstand verkregen worden. Via het probleem met de drivers konden hackers namelijk toegang krijgen tot de kern van het Secure Boot-systeem. Elke UEFI-app, dus ook de bootloader voor Windows of Linux, heeft een cryptografische sleutel nodig als Secure Boot is ingeschakeld. Alle sleutels van geweigerde software worden opgeslagen in de DBX-database. Door het probleem met de drivers kon deze database gewist worden. Bij het opstarten van de pc zou dan eender welke software kunnen draaien, ook software die vanop afstand werd geïnstalleerd.
Oplossing
De oorzaak van het hele probleem? De laptops werden opgestuurd met drivers die enkel voor intern gebruik dienden. Lenovo bracht ondertussen veiligheidsupdates uit voor twee van de veiligheidslekken. CVE-2022-3432 blijft onopgelost, aangezien dat probleem enkel van toepassing is op de IdeaPad Y700-14ISK. Dat model is dan ook niet meer te krijgen is en krijgt geen ondersteuning meer.