Un atacante tendría la capacidad de instalar malware persistente que puede sobrevivir a los reinicios del sistema
Se han descubierto tres vulnerabilidades de seguridad de la interfaz unificada de firmware extensible (UEFI) de alto impacto que afectan a varios modelos de portátiles de consumo de Lenovo, lo que permite a los actores maliciosos implementar y ejecutar implantes de firmware en los dispositivos afectados.
Registradas como CVE-2021-3970, CVE-2021-3971 y CVE-2021-3972, las dos últimas "afectan los controladores de firmware originalmente destinados a usarse solo durante el proceso de fabricación de las computadoras portátiles de consumo de Lenovo", dijo en un informe publicado hoy el investigador de ESET Martin Smolár.
"Desafortunadamente, también se incluyeron por error en las imágenes de la BIOS de producción sin desactivarlas correctamente", agregó Smolár.
La explotación exitosa de las fallas podría permitir a un atacante deshabilitar las protecciones flash SPI o el Arranque seguro, otorgando efectivamente al atacante la capacidad de instalar malware persistente que puede sobrevivir a los reinicios del sistema.
CVE-2021-3970, por otro lado, se relaciona con un caso de corrupción de memoria en el Modo de gerencia del sistema (SMM) de la firma, lo que llevó a la ejecución de código malicioso con los privilegios más altos.
Las tres fallas se informaron al fabricante de PC el 11 de octubre de 2021, luego de lo cual se emitieron parches el 12 de abril de 2022.
Las debilidades, que impactan a Lenovo Flex; IdeaPads; Legion; series V14, V15 y V17; y portátiles Yoga, se suman a la revelación de hasta 50 vulnerabilidades de firmware en InsydeH2O, HP UEFI y Dell de Insyde Software desde principios de año.
"Las amenazas UEFI pueden ser extremadamente sigilosas y peligrosas", dijo Smolár. "Se ejecutan temprano en el proceso de arranque, antes de transferir el control al sistema operativo, lo que significa que pueden eludir casi todas las medidas de seguridad y mitigaciones más altas en la pila que podrían evitar que se ejecuten las cargas útiles de su sistema operativo".