ThinkPwn: Ένα exploit που κυκλοφόρησε recently απενεργοποιεί την προστασία εγγραφής κρίσιμων περιοχών του firmware στα Lenovo ThinkPads και, ενδεχομένως σε φορητούς υπολογιστές από άλλους προμηθευτές.
The exploit essentially disables many of Windows' new security features, such as Secure Boot, Virtual Secure Mode and Credential Guard, which depends on how protected the firmware is.
Το exploit ονομάστηκε ThinkPwn, δημοσιεύθηκε νωρίτερα αυτή την εβδteam από έναν ερευνητή που ονομάζεται Dmytro Oleksiuk. Ο ερευνητής δεν μοιράστηκε τα ευρήματά του με την Lenovo πριν τη δημοσίευση του κενού ασφαλείας. Αυτό το καθιστά ένα zero-day, ένα exploit δηλαδή για την οποίο δεν υπάρχουν ακόμα διαθέσιμα patches.
ThinkPwn targets a privilege escalation flaw in the Unified Extensible Firmware Interface (UEFI) driver, which allows an attacker to remove the flash write protection and run malicious code on SMM (System Management Mode), a privileged CPU mode .
According to Oleksiuk, the exploit can be used to disable Secure Boot, a UEFI feature that cryptographically verifies the authenticity of the OS bootloader for prevention rootkits σε επίπεδο boot. Το κενό ασφαλείας επιτρέπει επίσης την παραβίαση της λειτουργίας Credential Guard των Windows 10 που χρησιμοποιεί την ασφάλεια virtualization για την πρόληψη κλοπής των διαπιστευτηρίων. Μπορεί επίσης να κάνει και άλλα “άλλα κακά πράγματα” σύμφωνα με τον ερευνητή.
According to Lenovo, the vulnerability found by Oleksiuk was not in its own UEFI code, but in an application provided to the company by an external partner who did not name it.
Please note that the problem has not yet been determined and that vulnerability could affect other vendors other than Lenovo. In ThinkPwn's release notes at GitHub, Oleksiuk reports that the vulnerability existed in the Intel reference code for 8-series chipsets but was not specified by 2014.
PoC: https://github.com/Cr4sh/ThinkPwn