WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Mã khai thác firmware có thể đánh bại cơ chế an ninh của Windows trên Lenovo ThinkPad
[Update ngày 6/7]: Lỗ hổng trong firmware của Lenovo ThinkPad cũng được tìm thấy trong các sản phẩm của các nhà cung cấp khác, bao gồm HP và Gigabyte Technology.
Sự việc đã được nhà nghiên cứu Alex James xác nhận tuần trước. James chia sẻ trên Twitter rằng ông tìm thấy mã có lỗ hổng bên trong firmware của máy tính xách tay HP Pavilion dv7-4087cl. Firmware do một IBV Đài Loan có tên Insyde Software cung cấp.
Nhà nghiên cứu sau đó cho biết mã có lỗ hổng tồn tại trong firmware của một số bo mạch chủ do hãng Gigabyte Technology của Đài Loan sản xuất. Các model có lỗ hổng bao gồm Gigabyte Z77X-UD5H, Gigabyte Z68-UD3H, Gigabyte Z87MX-D3H và Gigabyte Z97-D3H.
Hiện tại, Intel, HP và Gigabyte chưa đưa ra bất kỳ lời bình luận nào.
---------------
Một mã khai thác mới có thể vô hiệu hóa cơ chế chống ghi đè (write protection) của các vùng firmware quan trọng trên hầu như tất cả các phiên bản thuộc dòng laptop cao cấp ThinkPad của Lenovo. Nhiều tính năng an ninh mới của Windows, như Secure Boot, Virtual Secure Mode và Credential Guard đều bị ảnh hưởng. Việc mã khai thác được công bố rộng rãi khiến người dùng ThinkPad phải đối mặt với nhiều nguy cơ bị tấn công. Người dùng cần liên tục theo dõi thông tin để cập nhật bản vá ngay khi được phát hành. Hiện tại, Lenovo đã xác nhận lỗ hổng trên website chính thức của hãng và thông báo sẽ đưa ra bản vá sớm nhất có thể.
Mã khai thác, có tên ThinkPwn, do nhà nghiên cứu Dmytro Oleksiuk phát hiện và công bố tuần trước. Tuy nhiên, Oleksiuk không thông báo thông tin này với Lenovo trước khi chia sẻ trên Github. Chính điều này đã khiến ThinkPwn trở thành một mã khai thác zero-day. Nhà nghiên cứu cũng cho biết thêm lỗ hổng có thể ảnh hưởng đến các dòng laptop của các nhà cung cấp khác.
Theo đánh giá từ các chuyên gia an ninh mạng của Bkav, đây là một lỗ hổng nghiêm trọng. Lỗ hổng nằm trong trình điều khiển giao diện firmware mở rộng hợp nhất UEFI, cho phép tin tặc qua mặt cơ chế chống ghi đè flash và thực thi mã giả mạo trong SMM (chế độ quản lý hệ thống), một chế độ hoạt động ưu tiên của CPU. Tin tặc có thể lợi dụng lỗ hổng để khởi phát các cuộc tấn công leo thang đặc quyền nhằm ghi dữ liệu vào những vùng nhớ không được phép hoặc vô hiệu hóa những tính năng an ninh quan trọng của Windows vốn được xây dựng để bảo vệ người dùng. Từ đó, tin tặc có thể chèn mã độc nhằm mục đích kiểm soát hoàn toàn máy tính của người dùng. Một khi mã độc được chèn vào trong firmware của máy tính, rất khó để gỡ bỏ. Kể cả khi người dùng cài lại hệ điều hành, mã độc vẫn có thể tự cài đặt lại.
Theo Oleksiuk, mã khai thác có thể được sử dụng để vô hiệu hóa Secure Boot (khởi động an toàn), một tính năng của UEFI có tác dụng xác minh tính xác thực của bộ nạp khởi động hệ điều hành nhằm ngăn chặn rootkit ở cấp độ boot. Mã khai thác cũng có thể đánh bại các tính năng Credential Guard (bảo vệ thông tin) của Windows 10 có sử dụng cơ chế an ninh ảo hóa nhằm ngăn chặn các hành vi đánh cắp thông tin tên miền của doanh nghiệp và các hành vi phạm tội khác.
UEFI được thiết kế để thay thế cho BIOS truyền thống (Basic Input/Output System), có chức năng chuẩn hóa firmware máy tính hiện đại thông qua một thông số kỹ thuật tham chiếu. Tuy nhiên, vẫn có sự khác nhau đáng kể trong việc triển khai của các nhà sản xuất máy tính.
Thông số kỹ thuật tham chiếu được cung cấp bởi các nhà cung cấp CPU và chipset như Intel và AMD đang được sử dụng bởi một số ít các nhà cung cấp BIOS độc lập (IBV) với mục đích tạo ra cài đặt riêng và sau đó cấp phép cho các nhà sản xuất PC. Các nhà sản xuất PC nhận cài đặt từ các IBV và tuỳ chỉnh thêm theo ý mình.
Theo Lenovo, lỗ hổng do Oleksiuk tìm thấy không nằm trong mã UEFI của hãng, mà nằm trong cài đặt hãng có được từ ít nhất một IBV không rõ tên.
"Lenovo đang phối hợp với Intel cùng tất cả IBV của hãng để xác định hoặc loại trừ mọi tiện ích bổ sung do sự tồn tại của lỗ hổng trên BIOS được cung cấp cho Lenovo bởi các IBV khác, cũng như xác định mục đích ban đầu của mã có lỗ hổng", Lenovo cho biết.
Phạm vi ảnh hưởng của lỗ hổng vẫn chưa được xác định bởi lỗi có thể ảnh hưởng đến các nhà cung cấp khác ngoài Lenovo. Trong các ghi chú về ThinkPwn trên GitHub, Oleksiuk cho hay lỗ hổng tồn tại trong mã tham chiếu của Intel cho các chipset seri 8, nhưng đã được vá trong năm 2014.
"Khả năng cao là mã Intel cũ có lỗ hổng này đang tồn tại trong firmware của các nhà cung cấp OEM/IBV khác," nhà nghiên cứu cho biết.
Mã khai thác ThinkPwn được triển khai như một ứng dụng UEFI cần phải được thực thi từ một ổ đĩa flash USB bằng cách sử dụng shell UEFI. Thao tác này đòi hỏi quyền truy cập vật lý vào máy tính mục tiêu, do đó hạn chế việc khai thác của tin tặc.
Tuy nhiên, Oleksiuk cũng cho biết, tin tặc có thể khai thác lỗ hổng từ bên trong hệ điều hành đang chạy. Điều này có nghĩa là hệ thống có thể bị tấn công thông qua mã độc.
Bkav khuyến cáo, trong giai đoạn này những người dùng ThinkPad hạn chế việc cho người khác mượn máy tính của mình. Người dùng lưu ý khi mở các file đính kèm hoặc đường link đáng ngờ trong email nhận được, cần kiểm tra xem email có được gửi từ những địa chỉ đáng tin cậy hay không.
Sự việc đã được nhà nghiên cứu Alex James xác nhận tuần trước. James chia sẻ trên Twitter rằng ông tìm thấy mã có lỗ hổng bên trong firmware của máy tính xách tay HP Pavilion dv7-4087cl. Firmware do một IBV Đài Loan có tên Insyde Software cung cấp.
Nhà nghiên cứu sau đó cho biết mã có lỗ hổng tồn tại trong firmware của một số bo mạch chủ do hãng Gigabyte Technology của Đài Loan sản xuất. Các model có lỗ hổng bao gồm Gigabyte Z77X-UD5H, Gigabyte Z68-UD3H, Gigabyte Z87MX-D3H và Gigabyte Z97-D3H.
Hiện tại, Intel, HP và Gigabyte chưa đưa ra bất kỳ lời bình luận nào.
---------------
Một mã khai thác mới có thể vô hiệu hóa cơ chế chống ghi đè (write protection) của các vùng firmware quan trọng trên hầu như tất cả các phiên bản thuộc dòng laptop cao cấp ThinkPad của Lenovo. Nhiều tính năng an ninh mới của Windows, như Secure Boot, Virtual Secure Mode và Credential Guard đều bị ảnh hưởng. Việc mã khai thác được công bố rộng rãi khiến người dùng ThinkPad phải đối mặt với nhiều nguy cơ bị tấn công. Người dùng cần liên tục theo dõi thông tin để cập nhật bản vá ngay khi được phát hành. Hiện tại, Lenovo đã xác nhận lỗ hổng trên website chính thức của hãng và thông báo sẽ đưa ra bản vá sớm nhất có thể.
Mã khai thác, có tên ThinkPwn, do nhà nghiên cứu Dmytro Oleksiuk phát hiện và công bố tuần trước. Tuy nhiên, Oleksiuk không thông báo thông tin này với Lenovo trước khi chia sẻ trên Github. Chính điều này đã khiến ThinkPwn trở thành một mã khai thác zero-day. Nhà nghiên cứu cũng cho biết thêm lỗ hổng có thể ảnh hưởng đến các dòng laptop của các nhà cung cấp khác.
Theo đánh giá từ các chuyên gia an ninh mạng của Bkav, đây là một lỗ hổng nghiêm trọng. Lỗ hổng nằm trong trình điều khiển giao diện firmware mở rộng hợp nhất UEFI, cho phép tin tặc qua mặt cơ chế chống ghi đè flash và thực thi mã giả mạo trong SMM (chế độ quản lý hệ thống), một chế độ hoạt động ưu tiên của CPU. Tin tặc có thể lợi dụng lỗ hổng để khởi phát các cuộc tấn công leo thang đặc quyền nhằm ghi dữ liệu vào những vùng nhớ không được phép hoặc vô hiệu hóa những tính năng an ninh quan trọng của Windows vốn được xây dựng để bảo vệ người dùng. Từ đó, tin tặc có thể chèn mã độc nhằm mục đích kiểm soát hoàn toàn máy tính của người dùng. Một khi mã độc được chèn vào trong firmware của máy tính, rất khó để gỡ bỏ. Kể cả khi người dùng cài lại hệ điều hành, mã độc vẫn có thể tự cài đặt lại.
Theo Oleksiuk, mã khai thác có thể được sử dụng để vô hiệu hóa Secure Boot (khởi động an toàn), một tính năng của UEFI có tác dụng xác minh tính xác thực của bộ nạp khởi động hệ điều hành nhằm ngăn chặn rootkit ở cấp độ boot. Mã khai thác cũng có thể đánh bại các tính năng Credential Guard (bảo vệ thông tin) của Windows 10 có sử dụng cơ chế an ninh ảo hóa nhằm ngăn chặn các hành vi đánh cắp thông tin tên miền của doanh nghiệp và các hành vi phạm tội khác.
UEFI được thiết kế để thay thế cho BIOS truyền thống (Basic Input/Output System), có chức năng chuẩn hóa firmware máy tính hiện đại thông qua một thông số kỹ thuật tham chiếu. Tuy nhiên, vẫn có sự khác nhau đáng kể trong việc triển khai của các nhà sản xuất máy tính.
Thông số kỹ thuật tham chiếu được cung cấp bởi các nhà cung cấp CPU và chipset như Intel và AMD đang được sử dụng bởi một số ít các nhà cung cấp BIOS độc lập (IBV) với mục đích tạo ra cài đặt riêng và sau đó cấp phép cho các nhà sản xuất PC. Các nhà sản xuất PC nhận cài đặt từ các IBV và tuỳ chỉnh thêm theo ý mình.
Theo Lenovo, lỗ hổng do Oleksiuk tìm thấy không nằm trong mã UEFI của hãng, mà nằm trong cài đặt hãng có được từ ít nhất một IBV không rõ tên.
"Lenovo đang phối hợp với Intel cùng tất cả IBV của hãng để xác định hoặc loại trừ mọi tiện ích bổ sung do sự tồn tại của lỗ hổng trên BIOS được cung cấp cho Lenovo bởi các IBV khác, cũng như xác định mục đích ban đầu của mã có lỗ hổng", Lenovo cho biết.
Phạm vi ảnh hưởng của lỗ hổng vẫn chưa được xác định bởi lỗi có thể ảnh hưởng đến các nhà cung cấp khác ngoài Lenovo. Trong các ghi chú về ThinkPwn trên GitHub, Oleksiuk cho hay lỗ hổng tồn tại trong mã tham chiếu của Intel cho các chipset seri 8, nhưng đã được vá trong năm 2014.
"Khả năng cao là mã Intel cũ có lỗ hổng này đang tồn tại trong firmware của các nhà cung cấp OEM/IBV khác," nhà nghiên cứu cho biết.
Mã khai thác ThinkPwn được triển khai như một ứng dụng UEFI cần phải được thực thi từ một ổ đĩa flash USB bằng cách sử dụng shell UEFI. Thao tác này đòi hỏi quyền truy cập vật lý vào máy tính mục tiêu, do đó hạn chế việc khai thác của tin tặc.
Tuy nhiên, Oleksiuk cũng cho biết, tin tặc có thể khai thác lỗ hổng từ bên trong hệ điều hành đang chạy. Điều này có nghĩa là hệ thống có thể bị tấn công thông qua mã độc.
Bkav khuyến cáo, trong giai đoạn này những người dùng ThinkPad hạn chế việc cho người khác mượn máy tính của mình. Người dùng lưu ý khi mở các file đính kèm hoặc đường link đáng ngờ trong email nhận được, cần kiểm tra xem email có được gửi từ những địa chỉ đáng tin cậy hay không.
Nguồn: Computer World, Bkav
Chỉnh sửa lần cuối bởi người điều hành: