Уязвимости обнаружили специалисты компании ESET и описали их особенности в . Полноценной публикации по ним первооткрыватели делать не стали, так как похожая была ранее обнаружена в ноутбуках Lenovo в апреле этого года. Причина появления и более старых уязвимостей, и более свежих одинаковая: отладочные драйверы внутри прошивки UEFI, которые случайно были выпущены в общий доступ.
В списке пострадавших ноутбуков — ряд моделей ThinkBook, Yoga и Ideapad, всего примерно 25 штук без учета небольших модификаций одного и того же устройства. Ноутбуков серии ThinkPad в списке нет. В прошивке ноутбуков есть драйверы, которые, по идее, должны использоваться только внутри компании, для разработки и отладки устройств. Они позволяют напрямую из операционной системы модифицировать переменные в области памяти NVRAM, которые управляют процессом загрузки. Модификация переменных позволяет либо отключить Secure Boot полностью, либо модифицировать список запрещенного к запуску кода, чего в нормальной ситуации происходить не должно. Отключение «черного списка» модулей UEFI позволяет загрузить уязвимые драйверы. Три примера подобных драйверов были приведены в августе этого года в компании Eclypsium.
Отключить Secure Boot можно тремя разными способами в зависимости от модели, поэтому в патчах упоминаются три разных идентификатора CVE соответственно: CVE-2022-3430, CVE-2022-3431 и CVE-2022-3432. Первые две уязвимости были пропатчены с помощью обновления UEFI BIOS для моделей в списке. Третья уязвимость актуальна только для ноутбука Lenovo Ideapad Y700-14ISK. Патча для него нет, так как срок поддержки этой модели уже истек.
Что еще произошло
Пожалуй, самое интересное исследование прошлой недели — про случайно обнаруженный способ обхода блокировки экрана на смартфоне Google Pixel. Исследователь Дэвид Шютц подробно описал всю историю в своем блоге (, на Хабре). Для обхода блокировки достаточно было на включенном смартфоне вытащить сим-карту, вставить ее обратно (или поменять на другую), три раза ввести неправильный PIN-код, ввести PUK-код, поменять PIN, после чего «ларчик открывался» из-за логической ошибки. Исследователю после первоначального отказа все же выплатили за случайно обнаруженный баг 70 тысяч долларов.
Издание Bleeping Computer пишет про вредоносное расширение для браузера Google Chrome (и других браузеров на базе движка Chromium). Бэкдор интересен широчайшей функциональностью: кража паролей и криптоключей из буфера обмена, открытие вкладок с произвольными сайтами, организация DDoS-атак, майнинг криптовалют. Расширение объединяет жертв в ботнет с возможностью удаленного управления. Распространяется вредоносная программа по неофициальным каналам, в том числе под видом «обновления для вашего Flash Player».
В рамках ежегодного отчета по безопасности эксперты «Лаборатории Касперского» опубликовали два материала с прогнозами на 2023 год: общие по эволюции угроз и отдельно — по развитию таргетированных атак.
Свежее исследование рассказывает о на веб-сайты под управлением WordPress. Цель атаки — «черное SEO», продвижение в результатах поиска фейковых форумов, сгенерированных под популярные запросы пользователей. С их помощью, как правило, распространяется вредоносное ПО.
