Lenovo parchea las vulnerabilidades del firmware UEFI que afectan a millones de usuarios

Lenovo ha corregido un trío de errores de los que se podría abusar para realizar ataques UEFI. Descubiertas por el investigador de ESET Martin Smolár, las vulnerabilidades, asignadas como CVE-2021-3970, CVE-2021-3971 y CVE-2021-3972, podrían explotarse para "implementar y ejecutar con éxito el malware UEFI, ya sea en forma de implantes flash SPI como LoJax o implantes ESP como ESPecter" en el BIOS del portátil Lenovo. En los ataques cibernéticos UEFI, las operaciones maliciosas se cargan en un dispositivo comprometido en una etapa temprana del proceso de arranque.
Esto significa que el malware puede alterar los datos de configuración, establecer persistencia y puede eludir las medidas de seguridad que solo se cargan en la etapa del sistema operativo. El martes, ESET dijo que las vulnerabilidades afectan a "más de cien modelos diferentes de computadoras portátiles de consumo con millones de usuarios en todo el mundo" y fueron causadas por controladores que solo se usaron durante la etapa de desarrollo del producto de Lenovo. La lista de productos afectados incluye IdeaPads, dispositivos de juego Legion y portátiles Flex y Yoga.
La primera vulnerabilidad, CVE-2021-3970, afecta la función del controlador SW SMI. Este problema de corrupción de la memoria SMM, causado por una validación de entrada incorrecta, permite a los atacantes leer/escribir en SMRAM, lo que, a su vez, podría permitir la ejecución de código malicioso con privilegios SMM y la implementación de implantes flash SPI. "SMM es un modo de ejecución altamente privilegiado de los procesadores x86 [.
..]", explicaron los investigadores.
"El código SMM se escribe dentro del contexto del firmware del sistema y generalmente se usa para varias tareas, incluidas administración de energía, ejecución de código propietario OEM y actualizaciones seguras de firmware. Proporciona un entorno de ejecución independiente completamente invisible para el sistema operativo en ejecución". Las otras dos vulnerabilidades, CVE-2021-3971 y CVE-2021-3972, se relacionan con controladores llamados SecureBackDoor y SecureBackDoorPeim.
Lenovo describió la primera falla de seguridad como una "vulnerabilidad potencial de un controlador utilizado durante procesos de fabricación más antiguos en algunos dispositivos portátiles Lenovo de consumo que se incluyó por error en la imagen del BIOS y podría permitir que un atacante con privilegios elevados modifique [la] región de protección del firmware al modificar una variable NVRAM". El segundo problema es una "vulnerabilidad potencial de un controlador utilizado durante [el] proceso de fabricación en algunos dispositivos portátiles Lenovo de consumo que por error no se desactivó [y] puede permitir que un atacante con privilegios elevados modifique la configuración de arranque seguro modificando un variable NVRAM". Cuando el software de Lenovo los consulta, los controladores pueden verse comprometidos para deshabilitar las protecciones de flash y el arranque seguro de UEFI. 3972 requiere manipular las variables de NVRAM para implementar implantes maliciosos. ESET informó las tres vulnerabilidades a Lenovo el 11 de octubre de 2021. Las fallas de seguridad se evaluaron y confirmaron en noviembre.
Ahora se lanzaron los parches, lo que llevó a la divulgación pública en abril. Se recomienda que los usuarios actualicen su firmware de inmediato. Lenovo ha publicado un aviso y opciones alternativas de mitigación para los usuarios que no pueden aceptar correcciones en este momento.
Sin embargo, no todos los dispositivos de la lista se actualizarán con correcciones como productos heredados. ESET recomienda utilizar un software de encriptación de disco completo compatible con TPM para hacer que la información sea inaccesible si se manipulan las configuraciones de arranque seguro de UEFI cuando se trata de dispositivos sin soporte. "Todas las amenazas UEFI del mundo real descubiertas en los últimos años (LoJax, MosaicRegressor, MoonBounce, ESPecter, FinSpy) necesitaban eludir o desactivar los mecanismos de seguridad de alguna manera para implementarse y ejecutarse", comentó Smolár.
"Nuestro descubrimiento demuestra que, en algunos casos, la implementación de las amenazas UEFI puede no ser tan difícil como se esperaba, y la mayor cantidad de amenazas UEFI del mundo real descubiertas en los últimos años sugiere que los adversarios son conscientes de esto". ¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o en Keybase: charlie0.