Специалисты компании Eset сообщили об обнаружении в ноутбуках Acer опасной уязвимости. Ошибка позволяет при наличии доступа к компьютеру деактивировать функцию Secure Boot. Данный инструмент позволяет заблокировать запуск загрузчика без корректной подписи, защищая от вирусов, способных загружаться до старта операционной системы.
Брешь обнаружена в коде DXE-драйвера HQSwSmiDxe – данная утилита используется в некоторых моделях бюджетного класса. В частности, уязвимость присутствует в устройствах популярной линейки Extensa (EX215-21G и EX215-21), а также семейства Aspire (A315-22G, A115-21 и A315-22).
Ошибка получила высокий балл опасности (8,1 по 10-бальной шкале) и занесена в базы с кодом CVE-2022-4020. Эксплуатируя данную особенность, злоумышленник при наличии повышенных привилегий может редактировать содержимое переменной BootOrderSecureBootDisable, которая хранится в памяти микросхемы UEFI. Это и позволяет деактивировать модуль безопасной загрузки. Такая схема атаки реализуется относительно легко и не предусматривает вовлечение пользователей ПК. Специалисты также отметили, что драйвер даже не проверяет значение переменной BootOrderSecureBootDisable, отключение инициализируется уже при наличии данной переменной в памяти NVRAM.
После отключения защитного инструмента злоумышленник получает возможность инсталлировать модифицированную прошивку UEFI с вредоносным кодом, который нельзя будет обнаружить при помощи антивирусов для ОС.
Представители Acer официально подтвердили наличие проблемы и рекомендовали обладателям таких устройств загрузить последнюю версию BIOS (UEFI). Инициализировать процесс обновления можно самостоятельно, загрузив файл с официального сайта компании, либо дождаться автоматического обновления.
В апреле 2022 года аналогичную ошибку обнаружили в отладочных драйверах, которые использовались в ноутбуках Lenovo. Тогда угроза коснулась более 100 моделей. В ноябре схожую проблему обнаружили и в других устройствах компании.