El fabricante de PC Lenovo ha abordado otro conjunto de tres deficiencias en el firmware de la interfaz de firmware extensible unificada (UEFI) que afecta a varios dispositivos Yoga, IdeaPad y ThinkBook.
«Las vulnerabilidades permiten deshabilitar UEFI Secure Boot o restaurar las bases de datos de Secure Boot predeterminadas de fábrica (incluido dbx): todo simplemente desde un sistema operativo», la empresa de ciberseguridad eslovaca ESET explicado en una serie de tuits.
UEFI se refiere al software que actúa como una interfaz entre el sistema operativo y el firmware integrado en el hardware del dispositivo. Debido a que UEFI es responsable de iniciar el sistema operativo cuando se enciende un dispositivo, ha convertido a la tecnología en una opción atractiva para los actores de amenazas que buscan lanzar malware que es difícil de detectar y eliminar.
Visto de esa manera, las fallas, rastreadas como CVE-2022-3430, CVE-2022-3431 y CVE-2022-3432, podrían ser abusadas por un adversario para desactivar el arranque seguro, un mecanismo de seguridad diseñado para prevenir programas maliciosos. de la carga durante el proceso de arranque.
Asesoramiento de Lenovo describe las vulnerabilidades de la siguiente manera:
- CVE-2022-3430: Una vulnerabilidad potencial en el controlador de configuración de WMI en algunos dispositivos portátiles Lenovo de consumo puede permitir que un atacante con privilegios elevados modifique la configuración de Arranque seguro modificando una variable NVRAM.
- CVE-2022-3431: Una vulnerabilidad potencial en un controlador utilizado durante el proceso de fabricación en algunos dispositivos portátiles Lenovo de consumo que no se desactivó por error puede permitir que un atacante con privilegios elevados modifique la configuración de Arranque seguro modificando una variable NVRAM.
- CVE-2022-3432: Una vulnerabilidad potencial en un controlador utilizado durante el proceso de fabricación en el IdeaPad Y700-14ISK que no se desactivó por error puede permitir que un atacante con privilegios elevados modifique la configuración de Arranque seguro modificando una variable NVRAM.
En otras palabras, deshabilitar el arranque seguro de UEFI hace posible que los actores de amenazas ejecuten cargadores de arranque no autorizados, otorgando a los atacantes acceso privilegiado a los hosts comprometidos.
ESET dijo que las vulnerabilidades no eran fallas en el código fuente en sí, sino que surgieron porque los «controladores estaban destinados a usarse solo durante el proceso de fabricación, pero se incluyeron por error en la producción».
La última actualización marca la tercera vez que Lenovo se ha movido para corregir fallas en su firmware UEFI desde principios de año, todas las cuales han sido descubiertas e informadas por el investigador de ESET, Martin Smolár.
Si bien el primer conjunto de problemas (CVE-2021-3970, CVE-2021-3971 y CVE-2021-3972) podría haber permitido a los malos actores implementar y ejecutar implantes de firmware en los dispositivos afectados, el segundo lote (CVE-2022- 1890, CVE-2022-1891 y CVE-2022-1892) podrían armarse para lograr la ejecución de código arbitrario y desactivar funciones de seguridad.
Lenovo dijo que no tiene la intención de publicar correcciones para CVE-2022-3432 debido al hecho de que el modelo en cuestión ha llegado al final de su vida útil (EoL). Se recomienda a los usuarios de los otros dispositivos afectados que actualicen su firmware a la última versión.