Lenovo 노트북 25종,
보안 부팅 우회하는 취약점 발견!
사이버 보안 기업 ESET 연구팀은
ThinkPads, Yoga Slims, IdeaPads 등 레노버 노트북 25종에서
해커가 악성 펌웨어를 설치할 때 악용할 수 있는
보안 취약점 3건을 발견했습니다.
*UEFI 펌웨어는 운영체제가 부팅에 사용되며,
해커가 펌웨어에 미리 악성 코드를 주입하면
OS가 부팅되기도 전에 악성 코드가 실행될 수 있습니다.
OS에 설치되는 기존의 보안 솔루션으로는 탐지가 안 되기 때문에
해커는 지속성을 유지하며 공격을 이어 나갈 수 있습니다.
*UEFI(Unified Extensible Firmware Interface)는 운영 체제와 장치의 하드웨어에 내장된 펌웨어 간의 인터페이스 역할을 하는 소프트웨어입니다.
ESET 연구팀이 발견한 이 취약점은
*UEFI 보안 부트 프로세스를 비활성화하고,
제출되지 않은 UEFI 앱이나 부트로더를 실행할 위험성이 있습니다.
*보안 부팅은 디지털 서명을 확인해 부트로더, 주요 운영 체제 파일 및 무단 옵션 ROM의 변조를 감지하도록 설계된 최신 UEFI(Unified Extensible Firmware Interface) 2.3.1의 보안 기능입니다.
ESET 연구팀은 레노버가 제조 과정에만 사용하려 한 드라이버가 장착된 노트북을
실수로 출하한 것이 취약점 발생 원인이라고 진단했습니다.
CVE-2022-3430, CVE-2022-3431, CVE-2022-3432 취약점을 통해
공격자는 시스템에서 실행 중인 모든 보안 조치를 우회하고,
OS가 재설치된 후에도 공격을 계속할 수 있습니다.
- CVE-2022-3430
레노버 일반 사용자용 노트북 WMI 설치 드라이버에 존재하는 취약점으로 공격자는 NVRAM 변수를 바꿔 보안 부팅 설정을 변경할 수 있습니다.
- CVE-2022-3431
레노버 일반 사용자용 노트북 드라이버에 잠재적 취약성이 존재하고 제조 시 무효화되지 않았습니다. 공격자는 NVRAM 변수를 바꿔 보안 부팅 설정을 바꿀 수 있습니다.
- CVE-2022-3432
아이디어패드 T700-14ISK 드라이버에 잠재적 취약성이 존재하고 제조시 무효화되지 않았습니다. 공격자는 NVRAM 변수를 바꿔 보안 부팅 설정을 바꿀 수 있습니다.
영향을 받는 제품을 사용한다면 최신 펌웨어 버전으로 업데이트해야 합니다.
레버는 CVE-2022-3430와 CVE-2022-3431 보안 업데이트를 제공합니다.
다만 CVE-2022-3432의 경우 영향을 받는 아이디어패드 Y700-14ISK가
단종 예정이기 때문에 보안 업데이트를 제공하지 않을 예정이라고 합니다.
[영향을 받는 제품]
- IdeaPad 시리즈 (IdeaPad 5 Pro, IdeaPad Creator 5, IdeaPad Duet 3 제품군 등)
- Yoga 시리즈 (Yoga Slim 7, Yoga Duet 7, Yoga Creator 7 제품군 등)
- ThinkBook 시리즈 (ThinkBook 13x, 14, 15, 16, 16p 제품군 등)
- ThinkBook Plus 시리즈 (ThinkBook Plus G2, G3 제품군 등)
MIR News
[ Lenovo Notebook BIOS Vulnerabilities편 ]
참고 사이트
[1] 레노버 보안 업데이트: ‘Product Impact’ 항목에 해당하는 제품에 대한 업데이트 수행
https://support.lenovo.com/us/en/product_security/LEN-94952
감사합니다.
제작 : MIR Team
문의 : mss_analysis@cyberone.kr
블로그 : https://mir.team
페이스북 : https://www.facebook.com/mirteamofficial
2022년 최대 클라우드 보안사고 TOP 10 ☁️ (0) | 2022.12.14 |
---|---|
블랙프라이데이ꞏ크리스마스ꞏ설날, 해커로부터 개인정보를 지키는 방법 5가지 (0) | 2022.11.28 |
윈도우 제로데이 MOTW 취약점, 매그니베르 랜섬웨어 감염까지 (0) | 2022.10.31 |
새로운 백도어 Maggie 등장, 국내 MS-SQL 서버 위험 (0) | 2022.10.11 |
나도 모르는 사이 빅테크 기업으로 전송되고 있는 개인 정보? Spell-Jacking 주의 (0) | 2022.09.29 |
댓글 영역