A firmware-biztonságra és ellátási lánc kockázatkezelésre szakosodott Binarly kiberbiztonsági cég kedden bejelentette, hogy több Lenovo eszközben olyan sérülékenységeket talált, amelyek a támadók számára tartós kártevők (persistent implant) telepítését teszik lehetővé a célzott rendszereken.
A kutatók összesen hat biztonsági rést azonosítottak az Insyde BIOS-ban, amelyek a Lenovo IdeaCentre és Yoga all-in-one asztali gépeit érintik. A sérülékenységek a System Management Mode-ban (SMM) találhatók, ami egy alacsony szintű rendszerkezelésre tervezett üzemmód.
Mivel az SMM az operációs rendszer előtt aktiválódik, és újratelepítéssel is változatlan marad, ideális célpont lehet olyan kiberbűnözők számára, akik a Secure Boot (amely biztosítja, hogy indításkor csak megbízható szoftver fusson) megkerülésével próbálnak rejtett kártevőt telepíteni.
A sérülékenységek CVE‑2025‑4421-től CVE‑2025‑4426-ig kaptak azonosítókat. Ezek közül négy magas súlyosságú besorolást kapott, a többi a közepes súlyosságú kategóriába került. A magas súlyosságú biztonsági rések memóriakezelési problémák, amelyek jogosultságkiterjesztéshez és tetszőleges kódfuttatáshoz vezethetnek az SMM-ben. A közepes súlyosságú sérülékenységek információszivárgást és biztonsági mechanizmusok megkerülését tehetik lehetővé.
Azon támadók, akik magas szintű hozzáféréssel rendelkeznek a célzott Lenovo eszközökön, kihasználhatják a sérülékenységeket az SPI flash védelmi mechanizmusainak és a Secure Boot megkerülésére. Ennek eredményeként olyan tartós kártevőket telepíthetnek, amelyek az operációs rendszer újratelepítése után is megmaradnak, sőt, akár a hipervizor izolációjából is kitörhetnek.
A Binarly áprilisban jelentette a sebezhetőségeket a Lenovónak, amely júniusban megerősítette a felfedezések hitelességét. A Lenovo azóta elérhetővé tette a javításokat az IdeaCentre termékekhez, és jelenleg a Yoga sorozathoz készülő hibajavításokon dolgozik.
