Acer-Firmwarefehler ermöglicht es Angreifern, wichtige Sicherheitsfunktionen zu umgehen

Acer arbeitet daran, zusammensetzen Firmware-Fehler zu beheben, dieser fünf seiner Laptop-Modelle betrifft. Ein Exploit könnte es Angreifern geben, die Secure Schiff-Einstellungen eines Computers zu deaktivieren, um wichtige Sicherheitsmaßnahmen zu umgehen und Schadsoftware zu laden, nach sich ziehen Forscher herausgefunden.

ESET Research-Forscher Martin Smolar entdeckte den wie CVE-2022-4020 verfolgten Fehler im HQSwSmiDxe DXE-Viehtreiber aufwärts einigen Versionen von Consumer-Notebooks von Acer Aspire und Extensa. Ein Angreifer mit erhöhten Rechten kann den Fehler nutzen, um die UEFI Secure Schiff-Einstellungen übrig eine NVRAM-Variable zu ändern, wie ESET in offenbart eine Schlange von Tweets gepostet am 28. Nov.

„#CVE-2022-4020 wird im DXE-Viehtreiber HQSwSmiDxe gefunden, dieser nachdem dieser NVRAM-Variable ‚BootOrderSecureBootDisable‘ sucht“, so ESET. “Wenn die Variable vorhanden ist, deaktiviert dieser Viehtreiber Secure Schiff.”

Secure Schiff ist eine Sicherheitsfunktion des Unified Extensible Firmware Interface (UEFI) 2.3.1, dasjenige darauf ausgelegt ist, Manipulationen an Bootloadern, Betriebssystemdateien und nicht autorisierten Options-ROMs durch Validierung ihrer digitalen Signaturen zu wiedererkennen. Die Unterprogramm krampfhaft böswillige Aktivitäten, vorher sie dasjenige System infizieren können.

Durch die Auswertung des Fehlers können Bedrohungsakteure ebendiese Unterprogramm umgehen und beliebigen Quelltext aufwärts dem Computer umsetzen, Schadsoftware oder anderes, und sogar Persistenz in einem Sachverhalt glücken, in dem ein operating system neu installiert wird, sagten die Forscher.

Anderer Hersteller, ähnliche Sicherheitslücke

Insbesondere betrifft CVE-2020-4020 die Notebooks Acer Aspire A315-22, A115-21 und A315-22G sowie Extensa EX215-21 und EX215-21G. Dieser Fehler schafft eine ähnliche Gelegenheit pro Angreifer wie die, die durch Schwachstellen verursacht wird, die wie CVE-2022-3430, CVE-2022-3431 und CVE-2022-3432 verfolgt werden und die ESET-Forscher Entstehen November in verschiedenen Lenovo Yoga IdeaPad- und ThinkBook-Geräten gefunden nach sich ziehen. und anschließend ins Einzelne gehend beschrieben in einer Schlange von Tweets.

Wie in diesem Sachverhalt meldete ESET die Schwachstelle selbst dem Computerhersteller zur Beseitigung. Acer reagierte am 29. November schnell mit einem Sicherheitsupdate, dasjenige die Ergebnisse von Smolar bestätigte und die Schwere des Fehlers betonte.

„Durch dasjenige Deaktivieren dieser Secure Schiff-Unterprogramm kann ein Angreifer seinen eigenen unsignierten bösartigen Bootloader laden, um die absolute Prüfung übrig den Ladevorgang des Betriebssystems zu erlangen“, sagte dasjenige Unternehmen. „Dies kann es ihnen geben, Schutzmaßnahmen zu deaktivieren oder zu umgehen, um ihre eigenen Payloads mit den Systemprivilegien stillschweigend bereitzustellen.“

Acer arbeitet an einem BIOS-Update zur Beseitigung des Problems, dasjenige aufwärts dieser Acer Support-Website veröffentlicht wird, und empfiehlt betroffenen Benutzern, ihr BIOS, sowie verfügbar, aufwärts die neueste Version zu updaten, um dasjenige Problem zu beheben. Dieser Patch wird selbst wie kritisches Windows-Update enthalten sein, sagte dasjenige Unternehmen.

Häufiges Problem mit NVRAM-Variablen

Sowohl im Lenovo- wie selbst im Acer-Szenario können Angreifer den Acer-Softwarefehler ausnutzen, während sie spezielle NVRAM-Variablen erstellen, deren tatsächlicher Zahl nicht wichtig ist – die Existenz dieser Variablen selbst ist dasjenige einzige, welches ein betroffener Firmware-Viehtreiber überprüft, stellten die Forscher steif.

NVRAM-Variablen definieren zusammensetzen Namen pro die Schiff-Vorkaufsrecht, dieser einem Benutzer angezeigt werden kann. Die Variable enthält selbst zusammensetzen Zeigestock aufwärts dasjenige Hardwaregerät und aufwärts eine File aufwärts diesem Hardwaregerät, die dasjenige zu ladende UEFI-Zeichnung enthält.

Dieses Problem scheint recht prominent zu sein, Forscher raten schon davon ab, Firmware-Entwickler sicherheitsrelevante Komponenten in diesen Variablen zu speichern. Firmware-Sicherheitsingenieur Nikolaj Schlej sogar getwittert ein Forderung an die Firmware-Entwickler im zehnter Monat des Jahres, wegen des damit verbundenen Sicherheitsproblems „kein gemeinsames NVRAM mehr wie vertrauenswürdigen Speicher zu verwenden“.

„Es ist in dieser Tat sehr verlockend, NVRAM oder Komplementäre Metalloxid-Halbleiter-SRAM zum Speichern von Triggern pro verschiedene Utensilien zu verwenden, dagegen es muss davon ausgegangen werden, dass jedwederlei unter vollständiger Prüfung des Angreifers stillstehen“, sagte er in einer Lösung zu seinem eigenen Tweet. “Selbst flüchtige NVRAM-Variablen sind nicht vollwertig sicher, da immer noch die Möglichkeit einer falschen Attributprüfung besteht.”

Im Sachverhalt dieser Lenovo-Fehler scheint es, dass die Entwickler sich des Problems schon klar waren, vorher es seinen Weg in die Laptops des Unternehmens fand, da manche dieser betroffenen Komponenten nur während dieser Herstellung verwendet werden sollten und fälschlicherweise in die Produktion aufgenommen wurden. laut ESET.