El equipo de investigación de ESET descubrió y analizó tres vulnerabilidades que afectan distintos modelos de computadoras portátiles de Lenovo. La lista de dispositivos afectados abarca a más de cien modelos de computadoras diferentes con millones de usuarios en todo el mundo.
Las dos primeras vulnerabilidades detectadas -CVE-2021-3971, CVE-2021-3972- afectan a drivers de firmware para UEFI, que fueron pensados originalmente para usarse solo durante el proceso de fabricación de las computadoras portátiles de Lenovo. Desafortunadamente, también se incluyeron por error en la producción de imágenes ISO para BIOS sin haberse desactivado correctamente.
Según explicaron desde ESET, un atacante puede activar estos drivers de firmware afectados para deshabilitar directamente las protecciones en la memoria flash SPI o la función Secure Boot de UEFI (arranque seguro de UEFI) desde un proceso a nivel de usuario con privilegios durante el tiempo de ejecución del sistema operativo.
Esto significa que la explotación de estas vulnerabilidades permitiría a los atacantes desplegar y ejecutar con éxito en los dispositivos afectados implantes en flash SPI o ESP, como ocurrió con LoJax o con ESPecter, otros hallazgos de ESET de malware para UEFI.
Según Martin Smolár, Analista de Malware de ESET, “las amenazas dirigidas a UEFI pueden ser extremadamente sigilosas y peligrosas. Se ejecutan temprano en el proceso de arranque, antes de transferir el control al sistema operativo, lo que significa que son capaces de eludir varias medidas de seguridad y formas de mitigación más altas que podrían evitar que se ejecuten sus payloads”.
El 11 de octubre de 2021 desde ESET informaron a Lenovo acerca de todas las vulnerabilidades descubiertas. En total, la lista de dispositivos afectados comprende a más de cien modelos de computadoras diferentes con millones de usuarios en todo el mundo, desde modelos asequibles como Ideapad-3 hasta modelos más avanzados como Legion 5 Pro-16ACH6H o Yoga Slim 9-14ITL05. La lista completa de modelos afectados con soporte activo fue publicada en el comunicado de Lenovo.
Además de los modelos detallados en el comunicado, varios otros dispositivos que informaron desde ESET a Lenovo también se vieron afectados, pero no serán parcheados debido a que no recibirán más soporte -proceso conocido. Esto se conoce como End Of Development Support o EODS, por sus siglas en inglés.
La lista de los dispositivos que llegaron al final del ciclo de soporte y que fueron identificadas por la compañía de seguridad informática está disponible en el repositorio de divulgación de vulnerabilidades de ESET. Además, se realizó un completo análisis técnico de las vulnerabilidades descubiertas por ESET en equipos Lenovo y su alcance.
Desde ESET recomiendan a los propietarios de computadoras portátiles Lenovo que revisen la lista de dispositivos afectados y actualicen su firmware, idealmente siguiendo las instrucciones del fabricante.
Para más información sobre los dispositivos Lenovo afectados, visita el sitio web: https://www.welivesecurity.com/la-es/2022/04/19/descubren-vulnerabilidades-severas-uefi-laptops-lenovo/
