Спецпроекты

Безопасность Техника

В ноутбуках топового мирового производителя стоят невидимые заводские «неудаляемые» трояны

ИБ-компания Eset выявила опасную уязвимость в ряде моделей ноутбуков тайваньской Acer. С ее помощью злоумышленнику ничего не стоит установить на компьютер жертвы вредоносное ПО, которое крайне сложно обнаружит и нельзя удалить за счет переустановки ОС или форматирования системного диска. Обнаружение брешей такого рода постепенно становится обыденным. С начала 2022 г. специалисты Eset не менее трех раз предупреждали о проблемах безопасности, затграгивающих прошивки UEFI популярных моделей ноутбуков, в том числе производства Lenovo.

Вновь проблемы с UEFI

Специалисты Eset обнаружили в ноутбуках тайваньской компании Acer уязвимости, которые позволяют злоумышленнику с доступом к устройству отключить функцию безопасной загрузки (Secure Boot) на уровне прошивки UEFI.

Функция безопасной загрузки защищает от запуска неподписанного загрузчика на компьютерах, оснащенных модулем TPM (Trusted Platform Module; модуль доверенной платформы) и UEFI (Unified Extensible Firmware Interfacee; унифицированный интерфейс расширяемой прошивки). Таким образом, использование Secure Boot обеспечивает защиту от вредоносного ПО, которое способно запускаться еще до загрузки операционной системы.

Брешь, допускающая деактивацию функции Secure Boot, обнаружена сотрудником словацкой ИБ-компании Eset Мартином Смоларом (Martin Smolar) в DXE-драйвере HQSwSmiDxe, который присутствует в некоторых моделях ноутбуков Acer потребительского класса.

cer600.jpg
Вслед за нотубуками Lenovo уязвимости в UEFI добрались до продукции тайваньской Acer

Среди подверженных уязвимости портативных компьютеров Acer модели семейства Aspire: A315-22, A115-21, A315-22G; устройства линейки Extensa: EX215-21 и EX215-21G

Опасная уязвимость

Уязвимость отслеживается под идентификатором CVE-2022-4020. Ее опасность в Eset оценивают как «высокую» (8,1 балла из 10 возможных). Используя брешь, злоумышленник с расширенными привилегиями может изменить значение переменной BootOrderSecureBootDisable в энергонезависимой памяти (NVRAM; Non Volatile Random Access Memory) микросхемы UEFI и, тем самым, отключить функцию безопасной загрузки. Подобная атака имеет низкую сложность для исполнителя и не предполагает вовлечение пользователя ПК. Как отмечают в Acer, подверженный уязвимости драйвер на самом деле не проверяет значение BootOrderSecureBootDisable – сам факт существования переменной в NVRAM обеспечивает деактивацию безопасной загрузки.

Отключив процедуру безопасной загрузки на целевой машине, злоумышленник может установить модифицированную версию прошивки UEFI с вредоносным ПО, которое впоследствии нельзя будет обнаружить с помощью средств защиты уровня операционной системы.

Доступны патчи

Компания Acer уведомлена о проблеме и рекомендует владельцам затронутых уязвимости моделей ноутбуков обновить BIOS (UEFI) до последней версии. Сделать это можно, загрузив исправленную прошивку с официального сайта компании, либо дождаться его автоматической установки через «Центр обновления Windows» (Windows Update). В Acer отмечают, что соответствующее обновление для Windows будет иметь статус критического.

В апреле 2022 г. эксперты Eset обнаружили похожую уязвимость в отладочных драйверах, поставлявшихся вместе с ноутбуками Lenovo. Под угрозой оказалось более 100 моделей, в том числе IdeaPad 3, Legion 5 Pro-16ACH H и Yoga Slim 9-14ITL05.

В ноябре 2022 г. в фокусе внимания Eset вновь оказалась Lenovo и по тому же самому поводу. Подобные нынешним проблемы с безопасной загрузкой UEFI, в частности, могли испытывать обладатели 16-дюймого Lenovo Yoga Slim 7 Pro (16ARH7), представленного в мае 2022 г. и 14-дюймового Lenovo ThinkBook 14 G+ (ARA), представленного в начале 2022 г.

Положение Acer на рынке ПК

По данным исследовательской компании IDC, Acer в III квартале 2022 г. не попала в пятерку мировых лидеров по объему поставок ПК. Тройку крупнейших поставщиков сформировали китайская Lenovo, а также американские HP и Dell Technologies. Их совокупная доля в общем объеме поставок на глобальный рынок традиционных компьютеров составила 55,9%.

Представитель Тайваня – компания Asus – в предпоследнем квартале 2022 г. смогла похвастаться 7,5-процентным показателем.

Четвертая позиция в рейтинге IDC осталась за корпорацией Apple. «Яблочные» – единственная компания из пятерки лидеров, сумевшая нарастить объем поставок ПК в штуках и собственную долю на рынке.

По итогам II квартала 2022 г., несмотря на падение продаж, Acer сумела удержать позиции на мировом рынке, завоеванные годом ранее, сохранив за собой четвертую строчку в рейтинге IDC с долей в 6,9%. Компания оставила позади Apple и Asus (6,7% и 6,6% соответственно).

В апреле 2022 г. Acer приостановила свой бизнес на территории России, присоединившись к антироссийским санкциям, вызванным событиями на Украине. Компания была одним из трех крупнейших брендов ПК в России.

Дмитрий Степанов

Короткая ссылка