![Lenovo presenta su gama de productos estrella para las Navidades](https://www.trecebits.com/wp-content/uploads/2018/11/Lenovo-Logo.jpg)
Tres vulnerabilidades han sido descubiertas en la interfaz de firmware extensible unificada (UEFI por sus siglas en inglés) que afectan a varios modelos de equipos portátiles de Lenovo.
Varios investigadores de ESET dieron a conocer a Lenovo sobre su hallazgo en Octubre del 2021, por lo que Lenovo luego de revisar y confirmar acerca de las vulnerabilidades, solicitó que se divulguen el 18 de Abril del presente año debido a problemas internos en el desarrollo de las remediaciones.
Estas vulnerabilidades han sido registradas con los siguientes CVEs:
- CVE-2021-3970: LenovoVariableSmm – Lectura/escritura arbitraria de SMM
- CVE-2021-3971: SecureBackDoor – Deshabilita las protecciones flash SPI
- CVE-2021-3972: ChgBootDxeHook – Deshabilita UEFI Secure Boot
Los dos últimos se encuentran en los controladores del firmware UEFI, los cuales sólo están destinados a usarse durante el proceso de fabricación de los equipos portátiles. Estos controladores fueron incluidos en la imagen del BIOS de producción por error y no fueron desactivados correctamente.
Los atacantes podrían aprovechar estos controladores para deshabilitar protecciones, incluyendo el arranque seguro de UEFI.
La vulnerabilidad CVE-2021-3970 se relaciona directamente con la corrupción de memoria en modo administrativo del sistema (SMM), lo cual permite ejecutar código malicioso con privilegios muy altos.
![Vulnerabilidades de firmware UEFI](https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEj9UA18-7SEQTANzMH_jFV5dVyiOGPmvvE7eifNha1wXSV_UzSQ7ES5pkM_gEUxegTbcAhioUeZC01TH-20gjw7fpBd8Na8E--OkJzJUVoteIlGRGQT7OxTshnpR3M_KOUYoO5EaOQgbCXOTzRIUjaC1Bx6-qgnkSK-C-JDeLnxVIyFACiiAfp3VEn5/s728-e1000/hacking.jpg)
Recomendaciones:
La lista de modelos vulnerables ha sido publicada por Lenovo y puede ser visualizada aquí para que los propietarios puedan revisar y actualizar el firmware de su equipo lo más pronto posible
Para mayor información:
- https://arstechnica.com/information-technology/2022/04/bugs-in-100-lenovo-models-fixed-to-prevent-unremovable-infections/
- https://www.welivesecurity.com/la-es/2022/04/19/descubren-vulnerabilidades-severas-uefi-laptops-lenovo/
- https://thehackernews.com/2022/04/new-lenovo-uefi-firmware.html