Tres vulnerabilidades han sido descubiertas en la interfaz de firmware extensible unificada (UEFI por sus siglas en inglés) que afectan a varios modelos de equipos portátiles de Lenovo.
Varios investigadores de ESET dieron a conocer a Lenovo sobre su hallazgo en Octubre del 2021, por lo que Lenovo luego de revisar y confirmar acerca de las vulnerabilidades, solicitó que se divulguen el 18 de Abril del presente año debido a problemas internos en el desarrollo de las remediaciones.
Estas vulnerabilidades han sido registradas con los siguientes CVEs:
- CVE-2021-3970: LenovoVariableSmm – Lectura/escritura arbitraria de SMM
- CVE-2021-3971: SecureBackDoor – Deshabilita las protecciones flash SPI
- CVE-2021-3972: ChgBootDxeHook – Deshabilita UEFI Secure Boot
Los dos últimos se encuentran en los controladores del firmware UEFI, los cuales sólo están destinados a usarse durante el proceso de fabricación de los equipos portátiles. Estos controladores fueron incluidos en la imagen del BIOS de producción por error y no fueron desactivados correctamente.
Los atacantes podrían aprovechar estos controladores para deshabilitar protecciones, incluyendo el arranque seguro de UEFI.
La vulnerabilidad CVE-2021-3970 se relaciona directamente con la corrupción de memoria en modo administrativo del sistema (SMM), lo cual permite ejecutar código malicioso con privilegios muy altos.
Recomendaciones:
La lista de modelos vulnerables ha sido publicada por Lenovo y puede ser visualizada aquí para que los propietarios puedan revisar y actualizar el firmware de su equipo lo más pronto posible
Para mayor información:
- https://arstechnica.com/information-technology/2022/04/bugs-in-100-lenovo-models-fixed-to-prevent-unremovable-infections/
- https://www.welivesecurity.com/la-es/2022/04/19/descubren-vulnerabilidades-severas-uefi-laptops-lenovo/
- https://thehackernews.com/2022/04/new-lenovo-uefi-firmware.html