Независимый исследователь Дмитрий Олексюк (Dmytro Oleksiuk) рассказал о неисправленной 0-day уязвимости в UEFI, которую назвал ThinkPwn. В частности, баг проявляется на устройствах компаний Lenovo и HP, а также должен присутствовать на устройствах других производителей.
По данным Олексюка, проблема содержится в коде System Management Mode (SMM), который можно найти в составе UEFI Lenovo и других производителей. Баг может быть использован для осуществления различных вредоносных действий, к примеру, для отключения защитной функции Secure Boot, отключения защиты записи, а также для обхода механизмов безопасности Windows 10 Enterprise, таких как Device Guard и Credential Guard.
Для эксплуатации бреши атакующему понадобится просто скопировать эксплоит на флешку и выполнить из-под UEFI. Эксплоит для ThinkPwn исследователь опубликовал на GitHub. По его словам, данный способ в теории должен работать и непосредственно из-под операционной системы, но для этого эксплоит нужно переработать.
Представители Lenovo сообщают, что они проводят расследование инцидента. Патча пока нет, так как Олексюк опубликовал подробности о проблеме раньше, чем разработчики Lenovo успели что-либо сделать. Производитель утверждает, что исследователь вообще отказался идти на контакт, тогда как сам Олексюк пишет, что предлагал Lenovo свою помощь.
Согласно официальному сообщению Lenovo, проблемный код принадлежал сторонним разработчикам, то есть поставлялся одним из трех независимых разработчиков BIOS (IBV). Такие компании занимаются переработкой кода от производителей чипов (AMD и Intel), оптимизируя его под конкретные компании и устройства.
В Lenovo утверждают, что проблемный код независимые разработчики BIOS получили от компании Intel, и Олексюк согласен с этим выводом. Но исследователь пишет, что Intel исправила проблему еще в середине 2014 года, хотя не совсем ясно, было ли производителю известно о данной уязвимости, или брешь была устранена случайно.
Так как на GitHub Олексюк подробно объяснил, как искать проблемый код, один из его подписчиков в Twitter сообщил, что ему удалось обнаружить уязвимость и на своем ноутбуке HP Pavillion. Это лишь подтверждает теорию исследователя о том, что уязвимость может быть найдена в продуктах других производителей и угрожает не только владельцам ноутбуков Lenovo. Также в своем блоге исследователь высказал мысль, что данная проблема может быть вовсе не случайным багом, но самым настоящим бекдором.
@d_olex Yep, found SmmRuntimeManagementCallback() function in HP dv7 4087cl (from ~2010, HM55) with Insyde EFI pic.twitter.com/M5jrsrAO8d
— Alex James (@al3xtjames) July 2, 2016