Lenovo исправила уязвимости в своих продуктах

Компания Lenovo выпустила два уведомления безопасности для своей популярной линейки ноутбуков ThinkPad и серверов System x. Первая уязвимость связана с механизмом аутентификации в процессе Secure Boot, а вторая позволяет выполнить произвольный код на системе.

Уязвимость (CVE-2017-3775), связанная с процессом Secure Boot, была обнаружена экспертами Lenovo и оценивается как высоко опасная. Проблема затрагивает порядка десяти систем Lenovo корпоративного класса, в том числе System x, Flex System и NeXtScale nx360 M5.

Secure Boot – функция безопасного запуска в прошивке от Intel, играющая роль фильтра безопасности или интерфейса между операционной системой и прошивкой/BIOS. Secure Boot используется для защиты компьютера от кибератак и вредоносного ПО. Функция позволяет обнаруживать вмешательство в работу загрузчика, ключевые системные файлы и неавторизованные опции ПЗУ путем проверки цифровых подписей. Обнаруженная вредоносная активность затем блокируется, предотвращая дальнейшее заражение компьютера.

В уязвимых моделях серверов от Lenovo некоторые версии BIOS/UEFI должным образом не верифицируют подписанный код перед его запуском в безопасном режиме. В результате злоумышленник с физическим доступом к атакуемому компьютеру может загрузить на него неподписанный вредоносный код.

Производитель поставляет уязвимые системы с отключенным по умолчанию режимом Secure Boot, поскольку подписанные коды – сравнительно новое явление в дата-центрах. Тем не менее, для тех, кто использует данный режим, компания Lenovo выпустила исправления.

Вторая уязвимость (CVE-2018-9063) существует в утилите MapDrv, обеспечивающей функции общих ресурсов для System Update. С помощью MapDrv администраторы с локальным доступом могут подключать и отключать общие ресурсы. Однако MapDrv (C:\Program Files\Lenovo\System Update\mapdrv.exe) также может использоваться злоумышленниками. Путем ввода слишком длинного ID пользователя или пароля они могут вызвать переполнение буфера и выполнить произвольный код.

Вышеописанная уязвимость является средней опасности, поскольку ее нельзя проэксплуатировать удаленно. Кроме того, она не позволяет атакующему повысить свои привилегии (доступ к MapDrv уже и так требует наличия прав администратора).