Phát hiện lỗ hổng trong chương trình UEFI trên Laptop hãng Lenovo và HP

15:59 | 20/07/2016 | LỖ HỔNG ATTT

Chuyên gia bảo mật Dmytro Oleksiuk đã công bố về lỗ hổng zero-day trong UEFI (Unified Extensible Firmware Interface) và đặt tên nó là ThinkPwn. Lỗ hổng xuất hiện trên các thiết bị của hãng Lenovo, HP và có thể xuất hiện trên thiết bị của các nhà sản xuất khác.

Phát hiện lỗ hổng trong chương trình UEFI trên Laptop hãng Lenovo và HP

Theo Oleksiuk, vấn đề nằm ngay ở phần code System Management Mide (SMM) được tìm thấy trong thành phần chương trình UEFI của Lenovo và các nhà sản xuất khác. Lỗ hổng này có thể được sử dụng để phát tán, kích hoạt các mã độc cũng như tắt chức năng Secure Boot, vô hiệu hóa việc bảo vệ ghi chú, và thậm chí vô hiệu hóa cơ chế bảo mật của Windows 10 Enterprise như là Device Guard và Credential Guard.

Để lợi dụng kẽ hở trên UEFI, kẻ tấn công chỉ cần copy chương trình khai thác lỗ hổng vào thiết bị nhớ là có thể thực hiện trong chương trình UEFI. Dmytro Oleksiuk đã công bố chương trình khai thác cho lỗ hổng ThinkPwn trên github.com/Cr4sh/ThinkPwn).

Các nhà sáng lập của Lenovo cho biết, họ đang điều tra vụ việc này. Hiện tại vẫn chưa có bản vá patch, bởi vì Oleksiuk đã công bố chi tiết về lỗi này sớm hơn cả các nhà phát triển của Lenovo.

Theo thông báo chính thức của Lenovo, phần code có vấn đề thuộc về các nhà phát triển của bên thứ ba, tức là được viết bởi một trong ba nhà phát triển độc lập của BIOS (IBV). Các công ty này sẽ chỉnh sửa lại code từ các nhà sản xuất chíp (ADM và Intel), đồng thời sẽ tối ưu hóa code cho các thiết bị cụ thể.

Trên GitHub, Oleksyuk đã giải thích chi tiết cách tìm mã bị lỗi, một trong số những người theo dõi thường xuyên Oleksiuk trên Twitter thông báo rằng anh ta đã tìm thành công lỗ hổng trên cả laptop HP Pavillion.

Điều này khẳng định tính chính xác của lỗ hổng là có thể tìm thấy trên cả sản phẩm của các nhà sản xuất khác. Thậm trí trên blog của mình Dmytro Oleksiuk cho rằng vấn đề này không phải là lỗi ngẫu nhiên mà có thể là một cổng hậu thực sự.

‹ › ×

Tin liên quan

Lỗ hổng trên thiết bị lưu trữ Lenovo gây rò rỉ hàng triệu tập tin

08:00 | 13/08/2019

Mới đây, các nhà nghiên cứu của hai Công ty chuyên về an toàn mạng Vertical Structure (Bắc Ai-len) và WhiteHat Security (Mỹ) đã phát hiện ra một lỗ hổng nghiêm trọng trên hàng nghìn thiết bị lưu trữ mạng của Lenovo gây rò rỉ thông tin.

Hàng triệu laptop Lenovo bị ảnh hưởng bởi lỗ hổng trong UEFI Firmware

11:00 | 21/04/2022

Các nhà nghiên cứu tiết lộ ba lỗ hổng bảo mật định danh CVE-2021-3970, CVE-2021-3971 và CVE-2021-3972 ảnh hưởng đến giao diện firmware mở rộng hợp nhất (UEFI) trong một số thiết bị máy tính xách của Lenovo, cho phép tin tặc thực thi mã tùy ý và thay đổi firmware trên các thiết bị bị ảnh hưởng.

Tấn công APT ẩn mã đã trở lại Đông Nam Á

14:00 | 19/08/2019

Trong thời gian vừa qua, các hãng truyền thông đồng loạt đưa tin về nhóm tấn công APT có tên Platinum. Từ tháng 6/2018, nhóm chuyên gia của Kaspersky đã phát hiện ra các mẫu mã độc sử dụng kỹ thuật ẩn mã, lan rộng khắp Nam Á và Đông Nam Á, nhắm vào các tổ chức, cơ quan ngoại giao, chính phủ và quân đội. Bài viết sẽ giới thiệu một số nội dung của chiến dịch tấn công APT này.

Tin cùng chuyên mục

Cisco cảnh báo các cuộc tấn công password spray nhắm vào các dịch vụ VPN

16:00 | 15/04/2024

Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.

Cảnh báo chiến dịch tấn công nhắm vào các thiết bị USB an toàn

17:00 | 21/12/2023

Mới đây, nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky phát hiện một chiến dịch gián điệp mạng đang nhắm mục tiêu đánh cắp dữ liệu lưu trữ trên các thiết bị USB an toàn sử dụng trong các cơ quan, tổ chức chính phủ các nước Châu Á - Thái Bình dương (APAC).

Phân tích chức năng gián điệp trong phiên bản mod WhatsApp tấn công người dùng Ả Rập

09:00 | 08/12/2023

Để bổ sung thêm những tính năng dành cho các nền tảng ứng dụng nhắn tin hiện nay, các nhà phát triển bên thứ ba đã đưa ra các bản mod (phiên bản sửa đổi của ứng dụng không chính thức) cung cấp các tính năng mới bên cạnh những nâng cấp về mặt giao diện. Tuy nhiên, một số mod này có thể chứa phần mềm độc hại cùng với các cải tiến hợp pháp. Một trường hợp điển hình đã xảy ra vào năm ngoái khi các nhà nghiên cứu Kaspersky phát hiện ra Trojan Triada bên trong bản mod WhatsApp. Gần đây, các nhà nghiên cứu đã phát hiện một bản mod Telegram có module gián điệp được nhúng và phân phối thông qua Google Play. Câu chuyện tương tự hiện tại xảy ra với WhatsApp, khi một số bản mod trước đây đã được phát hiện có chứa module gián điệp có tên là Trojan-Spy.AndroidOS.CanesSpy.

Phân tích LitterDrifter: Worm độc hại được tin tặc Nga sử dụng trong các cuộc tấn công gián điệp mạng nhắm vào Ukraine

14:00 | 23/11/2023

Mới đây, các nhà nghiên cứu của hãng bảo mật Check Point đã phát hiện chiến dịch gián điệp mạng được thực hiện bởi nhóm tin tặc Gamaredon có liên hệ với Cơ quan An ninh Liên bang Nga (FSB), bằng cách sử dụng một loại Worm lây lan qua thiết bị USB có tên là LitterDrifter trong các cuộc tấn công nhắm vào các thực thể tại Ukraine. Bài viết này tập trung vào phân tích LitterDrifter cũng như cơ sở hạ tầng của máy chủ điều khiển và kiểm soát (C2) của phần mềm độc hại này.