Después de recibir un reporte del investigador de ESET Martin Smolár, los equipos de seguridad de Lenovo anunciaron la corrección de tres severas vulnerabilidades. Identificadas como CVE-2021-3970, CVE-2021-3971 y CVE-2021-3972, las fallas podrían ser explotadas para ejecutar malware UEFI, ya sea en forma de implantes flash SPI como LoJax, o implantes ESP como ESPecter.
En los ciberataques UEFI, las operaciones maliciosas se cargan en un dispositivo comprometido en una etapa temprana del proceso de arranque del sistema, por lo que el malware en cuestión es capaz de alterar los datos de configuración, obtener persistencia y evadir las medidas de seguridad que solo se cargan en la etapa comprometida.
En su reporte, ESET aseguró que las fallas afectan a más de cien modelos diferentes, incluyendo IdeaPads, laptops Flex y Yoga y dispositivos Legion, lo que podría impactar en varios millones de usuarios en todo el mundo. Además, se reporta que las fallas existen debido a la presencia de algunos controladores que solo se usaron durante la etapa de desarrollo de productos.
Identificada como CVE-2021-3970, este es un problema de corrupción de memoria que afecta la función del controlador SW SMI y es causado por una validación de entrada incorrecta, permitiendo a los atacantes leer o escribir en SMRAM, llevando a escenarios de ejecución de código malicioso con altos privilegios.
Las fallas restantes se relacionan con controladores llamados SecureBackDoor y SecureBackDoorPeim. Lenovo describió la primera falla de seguridad como una vulnerabilidad potencial de un controlador utilizado durante procesos de fabricación más antiguos en algunos dispositivos portátiles que se incluyó por error en la imagen del BIOS, lo que permitiría a los actores de amenazas con privilegios elevados modificar la región de protección del firmware al modificar una variable NVRAM.
La segunda falla reside en un controlador utilizado durante el proceso de fabricación en algunos dispositivos Lenovo que se dejó activado por error, lo que permitiría a los actores de amenazas con privilegios elevados modificar la configuración de arranque seguro.
ESET notificó a Lenovo sobre estas fallas el 11 de octubre de 2021; después de una evaluación y lanzamiento de actualizaciones, las fallas fueron divulgadas públicamente esta semana. Se recomienda a los usuarios de implementaciones afectadas actualizar su firmware a la más reciente versión disponible para mitigar el riesgo de explotación.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.