El equipo de investigación de ESET descubrió y analizó tres vulnerabilidades que afectan a más de 100 modelos de computadoras portátiles de Lenovo, que usan millones de usuarios en el mundo.
Los afectados van desde equipos asequibles como Ideapad-3, hasta más avanzados como Legion 5 Pro-16ACH6H o Yoga Slim 9-14ITL05. La lista completa con soporte activo puede verse aquí.
La compañía de ciberseguridad dijo que informó al fabricante chino en octubre pasado y un mes después este las confirmó y les asignó una CVE (vulnerabilidades y exposiciones comunes).
En una publicación de blog, el investigador de malware de ESET, Martin Smolár, explicó que las dos primeras vulnerabilidades CVE-2021-3971 y CVE-2021-3972 “afectan a drivers de firmware para UEFI [interfaz unificada de firmware extensible] que fueron pensados originalmente para usarse solo durante el proceso de fabricación de las computadoras”.
Desafortunadamente, añadió, también se incluyeron por error en la producción de imágenes ISO para BIOS sin haberse desactivado correctamente.
También lea: Aparece ransomware BlackCat en al menos 12 empresas de México, alertan
“El atacante puede activar estos drivers para deshabilitar directamente las protecciones en la memoria flash SPI o la función Secure Boot de UEFI (arranque seguro de UEFI) desde un proceso a nivel de usuario con privilegios durante el tiempo de ejecución del sistema operativo”, detalló.
La tercera vulnerabilidad CVE-2021-3970 es un fallo de corrupción de memoria SMM dentro de la función handler SW SMI, que permite la lectura y escritura arbitraria desde o hacia SMRAM, “lo que puede conducir a la ejecución de código malicioso con privilegios de SMM y, potencialmente, al despliegue de un implante flash SPI”.
Usuarios Lenovo: verifiquen y actualicen
Martin Smolár comentó que “nuestro descubrimiento, sumado al hallazgo de otras amenazas para UEFI en los últimos años (LoJax, MosaicRegressor, MoonBounce, ESPecter, FinSpy) demuestra que, en algunos casos, el despliegue de estas amenazas puede no ser tan difícil como se esperaba, y los adversarios son conscientes de esto”.
ESET recomienda a los propietarios de computadoras portátiles Lenovo que revisen la lista de dispositivos afectados y actualicen su firmware, idealmente bajo las instrucciones de Lenovo.
El investigador advirtió que es probable que se descubran muchas más vulnerabilidades de este tipo “debido a la gran cantidad de implementaciones de firmware diferentes y su complejidad”.