Lenovo কয়েকটি ল্যাপটপে পাওয়া তিনটি নিরাপত্তা দুর্বলতা সম্পর্কিত একটি নিরাপত্তা পরামর্শ জারি করেছে। ত্রুটিগুলি কোম্পানির IdeaPad, Legion, এবং Yoga পোর্টফোলিও জুড়ে 100 টিরও বেশি Lenovo ল্যাপটপ মডেলকে প্রভাবিত করে৷ দুর্বলতা ব্যবহার করে, একজন আক্রমণকারী ইউনিফাইড এক্সটেনসিবল ফার্মওয়্যার ইন্টারফেস (UEFI) সিকিউর বুট বৈশিষ্ট্যটি নিষ্ক্রিয় করতে এবং ল্যাপটপে নির্বিচারে কোড কার্যকর করতে সক্ষম হতে পারে। প্রস্তুতকারক প্রভাবিত ল্যাপটপ মডেলের ব্যবহারকারীদের সুরক্ষিত থাকার জন্য অফিসিয়াল ওয়েবসাইট থেকে এই ডিভাইসগুলির জন্য সর্বশেষ ফার্মওয়্যারে আপডেট করার পরামর্শ দিয়েছে।
ESET গবেষকরা তিনটি দুর্বলতা আবিষ্কার করেছেন এবং UEFI সিকিউর বুট বৈশিষ্ট্যকে প্রভাবিত করে, যা ল্যাপটপ বুট করার সময় বিশ্বস্ত কোড যাচাই এবং লোড করার জন্য ডিজাইন করা হয়েছে। সেগুলি 2021 সালের অক্টোবরে লেনোভোর কাছে গবেষকরা দায়িত্বের সাথে প্রকাশ করেছিলেন। নভেম্বর মাসে কোম্পানির দ্বারা দুর্বলতাগুলি নিশ্চিত করা হয়েছিল এবং তিনটি CVE (সাধারণ দুর্বলতা এবং প্রকাশ) বরাদ্দ করা হয়েছিল — CVE-2021-3970, CVE-2021-3971, এবং CVE-2021-3971 -3972, এবং সোমবার প্রস্তুতকারকের দ্বারা একটি নিরাপত্তা উপদেষ্টা প্রকাশিত হয়েছিল।
ESET-এর মতে, যা নিরাপত্তা ত্রুটিগুলির একটি বিশদ প্রযুক্তিগত বিশ্লেষণ প্রকাশ করেছে, দুটি দুর্বলতা — CVE-2021-3971 (SecureBackDoor), এবং CVE-2021-3972 (ChgBootDxeHook), দুটি UEFI ফার্মওয়্যার ড্রাইভারের পরে কোম্পানির দ্বারা চালু করা হয়েছিল। ঘটনাক্রমে ফার্মওয়্যারে অন্তর্ভুক্ত করা হয়েছিল। এই ড্রাইভারগুলি শুধুমাত্র ল্যাপটপ তৈরি করার সময় ব্যবহার করা হয় এবং আক্রমণকারীরা UEFI সিকিউর বুট বৈশিষ্ট্যটি বন্ধ করতে এবং UEFI ফার্মওয়্যার সংরক্ষণ করে এমন ফ্ল্যাশ মেমরি চিপের সুরক্ষা অক্ষম করতে ব্যবহার করতে পারে। অপারেটিং সিস্টেমে নিরাপত্তা সফ্টওয়্যার এবং অন্যান্য সমাধানগুলি এই হুমকিগুলি সনাক্ত করতে অক্ষম হবে কারণ তারা বুট প্রক্রিয়ার শুরুতে কার্যকর হয় — অপারেটিং সিস্টেম লোড হওয়ার আগে।
সিকিউর বুট দ্বারা প্রদত্ত সমস্ত সুরক্ষা বৈশিষ্ট্যগুলিকে বাইপাস করার জন্য, ESET দ্বারা আবিষ্কৃত UEFI হুমকিগুলির মতো, বিশ্বস্ত কোড লোড করার জন্য ডিজাইন করা সুরক্ষিত প্রক্রিয়াগুলিকে অক্ষম করুন৷ গবেষকদের মতে, LoJax, MosaicRegressor, MoonBounce, ESPecter, FinSpy সহ বন্য অঞ্চলে আবিষ্কৃত সমস্ত UEFI হুমকি তাদের দূষিত কোড চালানোর জন্য এই প্রক্রিয়াগুলিকে বাইপাস করতে সক্ষম হয়েছিল। একই ধরনের নিরাপত্তা ত্রুটি HP ফার্মওয়্যারেও আবিষ্কৃত হয়েছে, গত মাসে সেন্টিনেলওয়ান দ্বারা প্রকাশিত।
গবেষকরা একটি তৃতীয় নিরাপত্তা ত্রুটিও খুঁজে পেয়েছেন — বা CVE-2021-3970 (LenovoVariableSmm), যা উন্নত সুযোগ-সুবিধা সহ সিস্টেম ম্যানেজমেন্ট RAM (বা SMRAM) এ নির্বিচারে কোড নির্বাহ করতে পারে। কিছু ক্ষেত্রে, ESET-এর গবেষকদের মতে, UEFI সিকিউর বুট বৈশিষ্ট্য নিষ্ক্রিয় করার জন্য এটি ChgBootDxeHook ড্রাইভার সক্রিয় করতে ব্যবহার করা যেতে পারে। আবিষ্কৃত তিনটি নিরাপত্তা দুর্বলতার জন্যই আক্রমণকারীর ডিভাইসে স্থানীয় অ্যাক্সেস থাকা প্রয়োজন, তবে এটি লক্ষণীয় যে Lenovo ত্রুটিগুলিকে তার পরামর্শে একটি “মাঝারি” তীব্রতা স্তর নির্ধারণ করেছে৷
গবেষকদের মতে, লক্ষাধিক ব্যবহারকারীর দ্বারা ব্যবহৃত 100 টিরও বেশি ভোক্তা ল্যাপটপ মডেল নিরাপত্তা ত্রুটি দ্বারা প্রভাবিত হয়। যেসব ব্যবহারকারীর ডিভাইস রয়েছে যাদের সক্রিয় ডেভেলপমেন্ট সাপোর্ট রয়েছে তারা লেনোভোর অ্যাডভাইজরি ওয়েবসাইট থেকে তাদের ল্যাপটপের জন্য সর্বশেষ ফার্মওয়্যার আপডেট ডাউনলোড করতে পারেন। যাইহোক, অন্যান্য প্রভাবিত ডিভাইসগুলি ঠিক করা হবে না কারণ তারা ডেভেলপমেন্ট সাপোর্ট (EODS) এ পৌঁছে গেছে। যাইহোক, ESET গবেষকদের মতে, UEFI সিকিউর বুট কনফিগারেশন পরিবর্তন করা হলে এই ব্যবহারকারীরা TPM-সচেতন ফুল-ডিস্ক এনক্রিপশন ব্যবহার করে ডিস্ক ডেটাকে অ্যাক্সেসযোগ্য করে তুলতে পারে।
