Lenovo har kommet med sikkerhetsoppdateringer til mer enn hundre forskjellige laptop-modeller. Disse fjerner tre til sammen svært alvorlige sårbarheter i PC-enes underliggende UEFI/BIOS-system.
Den ene av sårbarhetene, CVE-2021-3971, gjør det mulig for en angriper å modifisere beskyttelsesområdet til fastvaren til PC-en dersom angriperen har forhøyde privilegier, altså administratortilgang. Sårbarheten CVE-2021-3970 kan utnyttes av angriperen til å få slik tilgang.
I tillegg kommer sårbarheten CVE-2021-3972, som gir en angriper med forhøyde privilegier mulighet til å modifisere «secure boot»-innstillingene til systemet.
Holder skadevaren skjult
Disse mulighetene gjør det blant annet mulig for angripere å installere skadevare som både kan være svært vanskelig å oppdage, og dessuten vanskelig å fjerne.
De to UEFI-relaterte sårbarhetene skyldes at UEFI-drivere som bare er ment for bruk under produksjonsprosessen fortsatt er tilgjengelige på systemer som har blitt levert, uten å ha blitt skikkelig deaktivert. Dette skriver IT-sikkerhetsselskapet Eset, som oppdaget sårbarhetene i fjor høst. Lenovo ble varslet om dem den 11. oktober 2021.
Skadevare i UEFI kan ha vært aktiv siden 2016 uten å bli oppdaget
Opprinnelig skulle sikkerhetsoppdateringene og detaljene om sårbarhetene ha blitt utgitt den 8. februar, men på grunn av problemer med utviklingen ble dette utsatt med mer enn to måneder.
Forbrukermodeller
Det er først og fremst laptop-modeller for forbrukermarkedet som er berørt av sårbarhetene. Dette gjelder blant annet en rekke modeller i familiene IdeaPad, Legion og Yoga. Noen av PC-ene er bare berørt av to av de tre sårbarhetene. En komplett oversikt finnes på denne siden.
Det er altså nødvendig å installere en BIOS-oppdatering på de berørte systemene. Dette er vanligvis ikke noe som kan gjøres gjennom Windows Update. I stedet må brukerne selv ta initiativ til å installere oppdateringen.
Det enkleste er vanligvis å bruke oppdateringsverktøyet fra Lenovo som vanligvis er inkludert på PC-ene, men det kan også gjøres mer manuelt ved å følge lenkene for den enkelte modell i Lenovos oversikt.
Mektig allianse vil sikre trygg KI-teknologi