Eset descubre vulnerabilidades en UEFI de laptops Lenovo
De acuerdo con la compañía, su equipo de investigación descubrió y analizó tres vulnerabilidades que afectan distintos modelos de computadoras portátiles de Lenovo. La lista de dispositivos afectados abarca más de cien modelos de computadoras diferentes con usuarios en todo el mundo, mencionó Eset.
Las dos primeras vulnerabilidades detectadas (CVE-2021-3971, CVE-2021-3972) afectan a drivers de firmware para UEFI que fueron pensados originalmente para usarse solo durante el proceso de fabricación de las computadoras portátiles de Lenovo. Desafortunadamente, también se incluyeron por error en la producción de imágenes ISO para BIOS sin haberse desactivado correctamente.
Eset explicó que un atacante puede activar estos drivers de firmware afectados para deshabilitar directamente las protecciones en la memoria flash SPI o la función Secure Boot de UEFI (arranque seguro de UEFI) desde un proceso a nivel de usuario con privilegios durante el tiempo de ejecución del sistema operativo. Esto significa que la explotación de estas vulnerabilidades permitiría a los atacantes desplegar y ejecutar con éxito en los dispositivos afectados implantes en flash SPI o ESP, como ocurrió con LoJax o con ESPecter, otros hallazgos de Eset de malware para UEFI.
“Las amenazas dirigidas a UEFI pueden ser sigilosas y peligrosas. Se ejecutan temprano en el proceso de arranque, antes de transferir el control al sistema operativo, lo que significa que son capaces de eludir varias medidas de seguridad y formas de mitigación más altas que son las que podrían evitar que se ejecuten sus payloads”, comentó Martin Smolár, analista de Malware del desarrollador.
El descubrimiento de estas vulnerabilidades se dio inicialmente considerando los drivers de firmware afectados por la vulnerabilidad CVE‑2021-3971. Estos drivers llamaron la atención del equipo de investigación por sus nombres: SecureBackDoory SecureBackDoorPeim. Después de un análisis inicial, se identificaron otros drivers de Lenovo que presentaban algunas características similares a los drivers SecureBackDoor*: ChgBootDxeHook y ChgBootSmm. Resultó que permitía deshabilitar el UEFI Secure Boot (CVE-2021-3972). Además, mientras desarrollaban la investigación, el equipo descubrió una tercera vulnerabilidad: un fallo de corrupción de memoria SMM dentro de la función handler SW SMI (CVE-2021-3970). Esta vulnerabilidad permite la lectura/escritura arbitraria desde/hacia SMRAM, lo que puede conducir a la ejecución de código malicioso con privilegios de SMM y, potencialmente, al despliegue de un implante flash SPI, detalló Eset.
Agregó que el 11 de octubre de 2021 informó a Lenovo acerca de las vulnerabilidades descubiertas. En total, la lista de dispositivos afectados comprende a más de cien modelos de computadoras diferentes con millones de usuarios en todo el mundo, desde modelos asequibles como Ideapad-3 hasta modelos avanzados como Legion 5 Pro-16ACH6H o Yoga Slim 9-14ITL05. La lista completa de modelos afectados con soporte activo fue publicada en el comunicado de Lenovo.
Además de los modelos detallados en el comunicado, varios otros dispositivos informados a Lenovo también se vieron afectados, pero no serán parcheados debido a que no recibirán más soporte -proceso conocido como End Of Development Support o EODS, por sus siglas en inglés. Esto incluye dispositivos en los que se detectaron las vulnerabilidades reportadas por primera vez: Ideapad 330-15IGM e Ideapad 110-15IGR. La lista de los dispositivos que llegaron al final del ciclo de soporte y que fueron identificadas por la compañía de seguridad informática está disponible en el repositorio de divulgación de vulnerabilidades. Además, se realizó un análisis técnico de las vulnerabilidades descubiertas en equipos Lenovo y su alcance, abundó el desarrollador.
“Nuestro descubrimiento, sumado al hallazgo de otras amenazas para UEFI en los últimos años (LoJax,MosaicRegressor,MoonBounce,ESPecter,FinSpy) demuestra que, en algunos casos, el despliegue de amenazas para UEFI puede no ser tan difícil como se esperaba, y la mayor cantidad de amenazas para UEFI descubiertas en los últimos años sugiere que los adversarios son conscientes de esto. Aunque las vulnerabilidades no son la única opción que tienen los atacantes para desactivar o eludir las mitigaciones de seguridad del firmware, existen muchas vulnerabilidades de este tipo. Asimismo, debido a la cantidad de implementaciones de firmware diferentes y su complejidad, es probable que muchas más estén esperando a ser descubiertas”, comentó Smolár.
Eset recomendó a los propietarios de computadoras portátiles Lenovo revisar la lista de dispositivos afectados y actualizar su firmware, siguiendo las instrucciones del fabricante.
WhatsApp eSemanal 55 7360 5651
