Достатъчно е атакуващият да влезе в ядрото, за да се настани във вашия хардуер.

Изследователи от Binarly са идентифицирали шест опасни уязвимости във фърмуера на BIOS, разработен от Insyde Software и използван в настолните компютри на Lenovo – по-конкретно в сериите IdeaCentre AIO 3 и Yoga AIO. Всички тези уязвимости са свързани с механизмите на System Management Mode (SMM) – специален режим на работа на процесора, който има по-високо ниво на привилегии дори от ядрото на операционната система.

SMM работи на ринг -2, ниво, до което нормалните програми, драйвери и дори хипервайзори нямат достъп. Този режим е предназначен за извършване на критични операции на ниско ниво: управление на захранването, контрол на хардуерните компоненти, обработка на патентовани OEM функции и други задачи, които изискват пълна изолация от основния софтуерен стек.

Според Lenovo, няколко версии на BIOS, базирани на Insyde, са уязвими на атаки, при които атакуващ, който вече има привилегии на ядрото (ринг 0), може да получи достъп до защитената област на SMRAM (System Management RAM). От тази област могат да бъдат извлечени не само чувствителни данни, но и да бъде инжектиран и изпълнен произволен код в SMM – в среда, която е напълно невидима и недостъпна за антивирусните програми, системите за контрол на целостта и другите защитни механизми.

Четири от шестте уязвимости получиха висока оценка на сериозност – 8,2 по скалата на CVSS, а други две – оценка 6,0, което съответства на среден риск. Заедно тези уязвимости представляват сериозна заплаха за целостта на системата, тъй като успешното им експлоатиране позволява зловреден код да бъде инжектиран директно във фърмуера, заобикаляйки всички механизми за защита на операционната система и гарантирайки, че зловредният софтуер ще остане непокътнат дори след пълно преинсталиране на операционната система или форматиране на диска.

Въпреки че експлоатацията на тези уязвимости изисква локален достъп и повишени привилегии, експертите подчертават, че те са особено опасни като част от верига от атаки, при които нападателят първо получава контрол над системата, а след това се утвърждава на ниво код на платформата.

Lenovo е уведомена за уязвимостите от екипа на Binarly на 8-ми април 2025 г. Производителят вече е подготвил актуализации на фърмуера за част от засегнатите устройства, включително за някои конфигурации Yoga AIO. Пускането на останалите пачове се очаква между септември и ноември 2025 г.

Производителят настоятелно препоръчва на всички собственици на засегнатите модели да актуализират BIOS-а си до най-новата версия възможно най-скоро, за да предотвратят потенциалния компромис със системата на ниво извън операционната среда.