A Lenovo mindenképpen, de a hírek szerint más PC-gyártók is érintettek abban a nemrég felfedezett firmware interfész hibában, amelynek révén kiiktathatóvá válik a firmware írsávédettsége. A nulladik napi sebezhetőséget felfedező és elsőként közzétevő Dmytro Oleksiuk szerint a támadók ezáltal képesek lehetnek megfertőzni a platform firmware-t, és kikerülni Virtual Secure Mode komponenst (Credential Guard stb.) a Windows 10 Enterprise rendszert futtató gépeken.

A szállítók hibája

A biztonsági kutató úgy látja, hogy a sérülékenység alapja az Intel referenciakódjából átvett rész, a Lenovo időközben kiadott közleménye szerint pedig a szóban forgó System Management Mode szoftver egy upstream BIOS szállítótól származik. Ez egyben azt is jelentené, hogy az ugyanabból a forrásból dolgozó gyártók termékeit hasonlóképpen érinti a bug; a Githubon Oleksiuk azóta a HP Pavilion sorozat egyik modelljéről, illetve bizonyos Gigabyte alaplap-típusokról is ír.
 

@d_olex Yep, found SmmRuntimeManagementCallback() function in HP dv7 4087cl (from ~2010, HM55) with Insyde EFI pic.twitter.com/M5jrsrAO8d

— Alex James (@al3xtjames) 2016. július 2.

A Lenovo közleménye odáig azért nem megy el, hogy kimondva az Intelt tegye felelőssé a hibáért, de a nyilatkozatot nehéz másképpen értelmezni. A PC-gyártó hangsúlyozza a súlyos besorolású sebezhetőséggel kapcsolatban, hogy már vizsgálja a problémát, és partnereivel együtt a lehető legrövidebb időn belül kiadja a hiba javítását. A Lenovo azt is megjegyzi, hogy sikertelenül próbált együttműködére lépni a biztonsági kutatóval, mielőtt az megosztotta volna a pontos információkat a közösségi médiában.

Megy az utalgatás

Természetesen arról is rögtön elindult a találgatás, hogy valójában nem bugról, hanem szándékosan készített hátsó ajtóról (backdoor) van szó. Erre egy ízben Oleksiuk is utal, de a Lenovo kommünikéje is elég homályosan fogalmaz, amennyiben vizsgálata során "kapcsolatba lép az összes független BIOS szállítójával és az Intellel is, hogy meghatározza vagy kiszűrje a sérülékenység további előfordulásait a harmadik féltől származó BIOS-okból, egyúttal pedig tisztázza a sebezhető kód eredeti célját."

A Lenovo legutóbb májusban közölte, hogy a Lenovo Solution Center (LSC) szoftver magas veszélyességi kategóriába sorolt sérülékenységeket tartalmaz, amelyeken keresztül a támadók nemkívánatos műveleteket hajthatnak végre a rendszereken. Nem sokkal korábban a gyártó több, meglehetősen kockázatos biztonsági hibát is orvosolt, elsősorban a Lenovo System Update alkalmazás (a rendszerfrissítésért felelős szoftverkomponens) kapcsán.

Tavaly a Superfish nevű, gyárilag telepített alkalmazás borzolta a Lenovo-tulajdonosok idegeit, amelyről aztán – mondhatni menetrendszerűen – kiderült, hogy közel sem csak a kínai gyártó rendszereit szállta meg. Novemberben a Dell gépeiről derült ki, hogy egy szintén gyárilag telepített belső tanúsítvány ugyanúgy lehetővé teszi a titkosított SSL/TLS kapcsolatok manipulálását, ráadásul a Dell saját üzletében még külön reklámozták is, hogy náluk felesleges aggódni a Superfish-hez hasonló incidensek miatt.