มีรายงานการค้นพบช่องโหว่ด้านความปลอดภัยที่มีระดับความรุนแรงสูงใหม่มากถึง 23 รายการ ในการใช้งานที่แตกต่างกันของ UEFI firmware ซึ่งถูกใช้งานจาก Vendor จำนวนมาก รวมไปถึง Bull atos, Fujitsu, HP, Juniper Networks, Lenovo, และ Vendor อื่น ๆ อีกมากมาย

ช่องโหว่ดังกล่าวเกิดขึ้นภายใน InsydeH2O UEFI ของ Insyde Software ตามข้อมูลของบริษัทรักษาความปลอดภัย Binarly โดยความผิดปกติส่วนใหญ่ที่พบอยู่ในโหมดของการจัดการระบบ System Management Mode (SMM)

UEFI เป็นซอฟต์แวร์ Specification ที่ช่วยให้อินเทอร์เฟซของโปรแกรมสามารถเชื่อมต่อระหว่างเฟิร์มแวร์ของคอมพิวเตอร์กับระบบปฏิบัติการในระหว่างกระบวนการบูต โดยในระบบ x86 firmware UEFI มักจะถูกเก็บไว้ในชิปหน่วยความจำแฟลชของเมนบอร์ด

"โดยการใช้ช่องโหว่เหล่านี้ ผู้โจมตีสามารถติดตั้งมัลแวร์ที่แม้จะมีการติดตั้งระบบปฏิบัติการใหม่ก็สามารถยังทำงานอยู่ได้ และทำให้สามารถ Bypass โซลูชั่นความปลอดภัยจำพวก Endpoint(EDR/AV), Secure Boot, และ Virtualization-Based Security isolation ได้อีกด้วย" นักวิจัยกล่าว

การใช้ประโยชน์จากช่องโหว่ (CVSS scores: 7.5 - 8.2) อาจทำให้ผู้ไม่หวังดีเรียกใช้โค้ดด้วยสิทธิ์ SMM ซึ่งเป็นโหมดการดำเนินการพิเศษใน x86-based processors ที่จัดการด้าน power management, hardware configuration, thermal monitoring, และฟังก์ชั่นอื่น ๆ

"SMM ทำงานในระดับสิทธิ์สูงสุด และไม่ปรากฏบน OS ซึ่งทำให้เป็นเป้าหมายที่น่าสนใจสำหรับใช้ในการโจมตี" Microsoft ระบุในเอกสารประกอบว่า การเพิ่มช่องทางการโจมตีด้วยช่องโหว่ SMM อาจถูกนำไปใช้ร่วมกันในการโจมตีลักษณะอื่นๆได้

ที่แย่ไปกว่านั้น ผู้โจมตียังสามารถใช้ช่องโหว่ต่างๆร่วมกันเพื่อ bypass security features และติดตั้งมัลแวร์ ในลักษณะที่สามารถคงอยู่ได้หลังจากการติดตั้งระบบปฏิบัติการใหม่ และคงอยู่ในระยะยาวบนระบบที่ถูกบุกรุกได้สำเร็จ จากข้อสังเกตในกรณีของ MoonBounce มีการแอบสร้างช่องทางการเชื่อมต่อออกไปภายนอกเพื่อขโมยข้อมูลที่มีความสำคัญออกไปด้วย

Insyde ได้เปิดตัวแพตช์ firmware ที่แก้ไขช่องโหว่เหล่านี้ แต่ความจริงที่ว่าซอฟต์แวร์นี้ถูกใช้ในการใช้งาน OEM หลายตัว หมายความว่าอาจต้องใช้เวลาพอสมควรก่อนที่การแก้ไขจะทะยอยลงไปยังอุปกรณ์ที่ได้รับผลกระทบ

ที่มา : thehackernews

Lenovo ประกาศแจ้งเตือนอุปกรณ์ที่ได้รับผลกระทบเพิ่มจากช่องโหว่บนเฟิร์มแวร์ Wi-Fi ของ Broadcom (CVE-2017-11120) โดยมีอุปกรณ์ที่ได้รับผลกระทบจากช่องโหว่นี้กว่าหลายสิบรุ่น

ช่องโหว่ CVE-2017-11121 เป็นช่องโหว่ buffer overflow บนเฟิร์มแวร์ของ Broadcom ซึ่งถูกค้นพบโดย Gal Beniamini จาก Google Project Zero ช่องโหว่ดังกล่าวถูกระบุความร้ายแรงอยู่ในระดับสูงสุด (critical) และได้มีการทยอยแพตช์ไปกับอุปกรณ์บางส่วนแล้วโดย Google และ Apple

Recommendation : ทั้งนี้ Lenovo แนะนำให้ผู้ใช้งานติดตามข่าวสารจาก advisory เป็นระยะๆ และหากพบว่าอุปกรณ์ที่ใช้งานอยู่นั้นอาจได้รับผลกระทบจากช่องโหว่ ให้ดำเนินการปฏิบัติตามคำแนะนำที่ https://support.

Lenovo ประกาศแจ้งเตือนผู้ใช้งาน ThinkPad หลังจากตรวจพบปัญหาด้านความปลอดภัยในซอฟต์แวร์จัดการลายนิ้วมือซึ่งกระทบผู้ใช้งาน Windows 7 ถึง Windows 8.1 โดยให้ทำการอัปเดตซอฟต์แวร์โดยด่วน

นักวิจัยด้านความปลอดภัย Jackson Thuraisamy จาก Security Compass ซึ่งเป็นผู้ค้นพบปัญหาด้านความปลอดภัยดังกล่าวได้ระบุเพิ่มเติมว่า ซอฟต์แวร์จัดการลายนิ้วมือของ Lenovo นั้นมีการฝังรหัสผ่านสำหรับเข้าสู่ระบบไว้ภายในซอฟต์แวร์ และมีการป้องกันข้อมูลดังกล่าวที่ไม่ปลอดภัย ส่งผลให้ผู้ใช้งานที่ไม่จำเป็นต้องมีสิทธิ์สูงในระบบนั้นสามารถเข้าถึงข้อมูลและถอดรหัสเพื่อให้ได้ข้อมูลบัญชีและรหัสผ่านได้

ที่มา : The Register

Lenovo ได้สรุปรายการอุปกรณ์ของตนเองที่ได้รับผลกระทบ และไม่ได้รับผลกระทบจากช่องโหว่ WPA2 (LEN-17420) หรือที่รู้จักกันในชื่อ "KRACK" นอกจากนี้ได้แนะนำเกี่ยวกับการใช้งาน Wi-Fi สาธารณะ ต้องคำนึงอยู่เสมอว่า Wi-Fi ที่ใช้อยู่นั้นอาจจะไม่ปลอดภัย เนื่องจากหากจะให้ปลอดภัยจากช่องโหวนี้จำเป็นจะต้องได้รับการ Patch ทั้งฝั่งที่เป็น Endpoint และ Access Point วิธีการป้องกันตัวเองที่ดีที่สุด คือ การใช้ VPN, HTTPS, SSH หรือวิธีการอื่นๆที่ต้องมีการ Verify ที่เครื่อง Endpoint หรือมีการเข้ารหัสข้อมูลที่ถูกส่ง

สามารถตรวจสอบอุปกรณ์ต่างๆ ได้ตามรายละเอียดใน link ที่มาด้านล่าง

ที่มา: Lenovo

IBM Storwize เป็น Storage สำหรับองค์กร โดยมีหลากหลายรุ่นให้เลือกใช้ ซึ่งจำเป็นต้องมีการ setup configuration ผ่าน computer ด้วย ซึ่งการ setup configuration นั้นจะกระทำผ่าน USB ที่แนบมาให้ด้วย แต่ล่าสุดพบว่า USB ที่แนบมาด้วยนั้นมีการฝัง malware มาด้วย
ถือว่าความเชื่อถือของ Lenovo กลับมาถูกทำลายอีกครั้งหลังจากพบว่า USB Flash drive ที่เป็นเครื่องมือสำหรับการ setup การเริ่มต้น (initialization tool) ที่มากับ IBM Storwize สำหรับ Lenovo V3500, V3700 และ V5000 Gen 1 storage system พบว่ามีไฟล์ที่ malicious code ฝังอยู่

เมื่อ initialization tool รันจาก USB ใน Computer เพื่อเริ่ม configuration ตัวเครื่องมือจะ copy ตัวเองไปใน folder ชั่วคราวบน Hard drive ของ Desktop ซึ่งทำให้มีการ copy malicious file เข้าไปใน folder ชั่วคราวนั้นด้วย ซึ่งไฟล์นั้นๆจะไม่ถูกรันโดยตัวเครื่องมือ setup เอง ยกเว้นว่า user จะเป็นคนกดรันเอง
ทาง Lenovo แนะนำให้ทำการทำลาย USB flash drive ทันที จากนั้นให้ติดต่อ Lenovo เพื่อขอ USB flash drive ใหม่ หรือไม่ก็ download Initialization tool package จาก Lenovo Support ได้เลย (https://www.

ข่าวร้ายสำหรับผู้ใช้งาน PC ของ Lenovo, Dell และ Toshiba เมื่อซอฟต์แวร์สนับสนุนที่ติดมากับเครื่อง ได้แก่ Lenovo Solution Center, Dell System Detect และ Toshiba Service Station ถูกค้นพบว่ามีช่องโหว่ที่ช่วยให้แฮกเกอร์สามารถรันโค้ดบนคอมพิวเตอร์ Lenovo ผ่านทางเว็บไซต์ปลอมของแฮกเกอร์ โดยได้สิทธิ์เป็น System ทันที ซึ่งช่องโหว่นี้ถูกค้นพบโดยแฮกเกอร์ที่ใช้ชื่อว่า Slipstream และ RoL เมื่อสัปดาห์ที่ผ่านมา

นอกจากนี้ ยังมีช่องโหว่ Directory Traversal ซึ่งช่วยให้แฮกเกอร์สามารถใช้หลอก Lenovo Solution Center เพื่อรันคำสั่งจากโฟลเดอร์ใดก็ได้ ไม่จำเป็นต้องเป็นโฟลเดอร์ %APPDATA%\LSC\Local Store อีกต่อไป และที่น่าตกใจยิ่งกว่าคือ LSCTaskService ยังมีช่องโหว่ Cross-site Request Forgery (CSRF) แถมมาอีกด้วย ส่งผลให้แฮกเกอร์ไม่จำเป็นต้องเข้าถึงเครื่องคอมพิวเตอร์ก็สามารถหลอกล่อให้เหยื่อเข้าถึงเว็บไซต์ของตนเพื่อแอบส่งคำสั่งไปรันบนเครื่องของเหยื่อได้ทันที

Lenovo ได้ทราบถึงช่องโหว่ดังกล่าว และกำลังทำการตรวจสอบเพื่ออุดช่องโหว่ให้เร็วที่สุด ระหว่างนี้แนะนำให้ผู้ใช้ยกเลิกการติดตั้ง Lenovo Solution Center ออกไปก่อน
Slipstream ยังได้เปิดเผยช่องโหว่ของ Toshiba Service Station และ Dell System Detect โดย Toshiba Service Station จะทำการสร้าง Service ที่เรียกว่า TMachInfo ซึ่งถูกรันด้วยสิทธิ์ระดับ System และรับคำสั่งผ่านทาง UDP Port 1233 หนึ่งในคำสั่งเหล่านั้น คือ Reg.