Lenovo 노트북 25종, 보안 부팅 우회하는 취약점 발견

 

Lenovo 노트북 25종, 

보안 부팅 우회하는 취약점 발견!

 

 

사이버 보안 기업 ESET 연구팀은 

ThinkPads, Yoga Slims, IdeaPads 등 레노버 노트북 25종에서 

해커가 악성 펌웨어를 설치할 때 악용할 수 있는 

보안 취약점 3건을 발견했습니다.

 

 

*UEFI 펌웨어는 운영체제가 부팅에 사용되며, 

해커가 펌웨어에 미리 악성 코드를 주입하면 

OS가 부팅되기도 전에 악성 코드가 실행될 수 있습니다. 

OS에 설치되는 기존의 보안 솔루션으로는 탐지가 안 되기 때문에

해커는 지속성을 유지하며 공격을 이어 나갈 수 있습니다. 

 

*UEFI(Unified Extensible Firmware Interface)는 운영 체제와 장치의 하드웨어에 내장된 펌웨어 간의 인터페이스 역할을 하는 소프트웨어입니다.

 

 

ESET 연구팀이 발견한 이 취약점은 

*UEFI 보안 부트 프로세스를 비활성화하고, 

제출되지 않은 UEFI 앱이나 부트로더를 실행할 위험성이 있습니다. 

 

*보안 부팅은 디지털 서명을 확인해 부트로더, 주요 운영 체제 파일 및 무단 옵션 ROM의 변조를 감지하도록 설계된 최신 UEFI(Unified Extensible Firmware Interface) 2.3.1의 보안 기능입니다.

 

 

ESET 연구팀은 레노버가 제조 과정에만 사용하려 한 드라이버가 장착된 노트북을

실수로 출하한 것이 취약점 발생 원인이라고 진단했습니다.

 

 

CVE-2022-3430, CVE-2022-3431, CVE-2022-3432 취약점을 통해 

공격자는 시스템에서 실행 중인 모든 보안 조치를 우회하고, 

OS가 재설치된 후에도 공격을 계속할 수 있습니다.

 

- CVE-2022-3430

레노버 일반 사용자용 노트북 WMI 설치 드라이버에 존재하는 취약점으로 공격자는 NVRAM 변수를 바꿔 보안 부팅 설정을 변경할 수 있습니다. 

- CVE-2022-3431

레노버 일반 사용자용 노트북 드라이버에 잠재적 취약성이 존재하고 제조 시 무효화되지 않았습니다. 공격자는 NVRAM 변수를 바꿔 보안 부팅 설정을 바꿀 수 있습니다. 

- CVE-2022-3432 

아이디어패드 T700-14ISK 드라이버에 잠재적 취약성이 존재하고 제조시 무효화되지 않았습니다. 공격자는 NVRAM 변수를 바꿔 보안 부팅 설정을 바꿀 수 있습니다.

 

 

영향을 받는 제품을 사용한다면 최신 펌웨어 버전으로 업데이트해야 합니다.

레버는 CVE-2022-3430와 CVE-2022-3431 보안 업데이트를 제공합니다. 

다만 CVE-2022-3432의 경우 영향을 받는 아이디어패드 Y700-14ISK가 

단종 예정이기 때문에 보안 업데이트를 제공하지 않을 예정이라고 합니다.

 

[영향을 받는 제품]

 - IdeaPad 시리즈 (IdeaPad 5 Pro, IdeaPad Creator 5, IdeaPad Duet 3 제품군 등)

 - Yoga 시리즈 (Yoga Slim 7, Yoga Duet 7, Yoga Creator 7 제품군 등)

 - ThinkBook 시리즈 (ThinkBook 13x, 14, 15, 16, 16p 제품군 등)

 - ThinkBook Plus 시리즈 (ThinkBook Plus G2, G3 제품군 등)

 

 

MIR News

[ Lenovo Notebook BIOS Vulnerabilities편 ]

 

참고 사이트

[1] 레노버 보안 업데이트: ‘Product Impact’ 항목에 해당하는 제품에 대한 업데이트 수행

https://support.lenovo.com/us/en/product_security/LEN-94952

 

감사합니다.

 

제작 : MIR Team

문의 : mss_analysis@cyberone.kr

블로그 : https://mir.team

페이스북 : https://www.facebook.com/mirteamofficial