ACER corrige bugs UEFI que podem ser usados ​​para desativar o Secure Boot

A Acer corrigiu uma vulnerabilidade de alta gravidade que afeta vários modelos de laptop que pode permitir que invasores locais desativem o UEFI Secure Boot em sistemas de destino.

O recurso de segurança Secure Boot bloqueia bootloaders de sistemas operacionais não confiáveis ​​em computadores com um chip Trusted Platform Module (TPM) e firmware Unified Extensible Firmware Interface (UEFI) para evitar que códigos maliciosos, como rootkits e bootkits, sejam carregados durante o processo de inicialização.

Relatado pelo pesquisador de malware da ESET, Martin Smolar , a falha de segurança ( CVE-2022-4020 ) foi descoberta no driver HQSwSmiDxe DXE em alguns notebooks Acer.

Os invasores com altos privilégios podem abusar dele em ataques de baixa complexidade que não requerem interação do usuário para alterar as configurações de UEFI Secure Boot, modificando a variável BootOrderSecureBootDisable NVRAM para desabilitar o Secure Boot.

“Os pesquisadores identificaram uma vulnerabilidade que pode permitir alterações nas configurações de inicialização segura, criando variáveis ​​NVRAM (o valor real da variável não é importante, apenas a existência é verificada pelos drivers de firmware afetados)”, disse a Acer .

Depois de explorar a vulnerabilidade nos laptops Acer afetados e desativar o Secure Boot, os agentes de ameaças podem sequestrar o processo de carregamento do sistema operacional e carregar bootloaders não assinados para contornar ou desabilitar proteções e implantar cargas maliciosas com privilégios de sistema.

A lista completa de modelos de laptop Acer afetados inclui Acer Aspire A315-22, A115-21, A315-22G, Extensa EX215-21 e EX215-21G.

Atualização do BIOS disponível, atualização do Windows chegando

“A Acer recomenda atualizar seu BIOS para a versão mais recente para resolver esse problema. Esta atualização será incluída como uma atualização crítica do Windows”, acrescentou a empresa.

Como alternativa, os clientes podem baixar a atualização do BIOS no site de suporte da empresa e implantá-la manualmente nos sistemas afetados.

A Lenovo corrigiu bugs semelhantes encontrados pelos pesquisadores da ESET em vários modelos de laptop ThinkBook, IdeaPad e Yoga no início deste mês, que podem permitir que invasores desativem o UEFI Secure Boot.

Permitir que os agentes de ameaças executem código malicioso não assinado antes da inicialização do sistema operacional pode levar a consequências graves, incluindo a implantação de malware que pode persistir entre as reinstalações do sistema operacional e ignorar as proteções antimalware fornecidas pelas soluções de segurança.

No caso da Lenovo, o problema foi causado pelos desenvolvedores da empresa, incluindo um driver de desenvolvimento inicial em drivers de produção que poderia alterar as configurações de inicialização segura do sistema operacional.

Em janeiro, a ESET encontrou três outras falhas de firmware UEFI que podem permitir que invasores sequestrem a rotina de inicialização em mais de 70 modelos de dispositivos Lenovo executando o Windows.