Se han descubierto tres vulnerabilidades de seguridad de interfaz de firmware extensible unificada (UEFI) de alto impacto que afectan a varios modelos de portátiles de consumo de Lenovo, lo que permite a los actores maliciosos implementar y ejecutar implantes de firmware en los dispositivos afectados.
Registrados como CVE-2021-3970, CVE-2021-3971 y CVE-2021-3972, los dos últimos «afectan a los controladores de firmware originalmente destinados a usarse solo durante el proceso de fabricación de las computadoras portátiles de consumo de Lenovo», dijo el investigador de ESET Martin Smolár. dicho en un informe publicado hoy.
«Desafortunadamente, también se incluyeron por error en las imágenes de BIOS de producción sin desactivarlas correctamente», agregó Smolár.
La explotación exitosa de las fallas podría permitir que un atacante deshabilite las protecciones flash SPI o el Arranque seguro, otorgando efectivamente al adversario la capacidad de instalar malware persistente que puede sobrevivir a los reinicios del sistema.
CVE-2021-3970, por otro lado, se relaciona con un caso de corrupción de memoria en el modo de administración del sistema (SMM) de la firma, lo que lleva a la ejecución de código malicioso con los privilegios más altos.
Las tres fallas se informaron al fabricante de PC el 11 de octubre de 2021, luego de lo cual parches se emitieron el 12 de abril de 2022. A continuación se muestra un resumen de las tres fallas descritas por Lenovo:
- CVE-2021-3970 – Una vulnerabilidad potencial en LenovoVariable SMI Handler debido a una validación insuficiente en algunos modelos de portátiles Lenovo puede permitir que un atacante con acceso local y privilegios elevados ejecute código arbitrario.
- CVE-2021-3971 – Una posible vulnerabilidad de un controlador utilizado durante los procesos de fabricación anteriores en algunos dispositivos portátiles Lenovo de consumo que se incluyó por error en la imagen del BIOS podría permitir que un atacante con privilegios elevados modifique la región de protección del firmware mediante la modificación de una variable NVRAM.
- CVE-2021-3972 – Una posible vulnerabilidad de un controlador utilizado durante el proceso de fabricación en algunos dispositivos portátiles Lenovo de consumo que no se desactivó por error puede permitir que un atacante con privilegios elevados modifique la configuración de arranque seguro modificando una variable NVRAM.
Las debilidades, que impactan a Lenovo Flex; IdeaPads; Legión; series V14, V15 y V17; y portátiles Yoga, sume a la revelación de hasta 50 vulnerabilidades de firmware en InsydeH2O de Insyde Software, HP UEFIy Dell desde principios de año.
«Las amenazas UEFI pueden ser extremadamente sigilosas y peligrosas», dijo Smolár. «Se ejecutan temprano en el proceso de arranque, antes de transferir el control al sistema operativo, lo que significa que pueden eludir casi todas las medidas de seguridad y mitigaciones más altas en la pila que podrían evitar que se ejecuten las cargas útiles de su sistema operativo».