Millones de portátiles Lenovo se ven afectados por una grave vulnerabilidad del BIOS. lenovo informado sus clientes sobre la vulnerabilidad en su sitio web de soporte esta semana. La compañía ya lanzó actualizaciones de firmware para algunos de los dispositivos afectados y planea lanzar las actualizaciones restantes a principios de mayo.

vulnerabilidad lenovo

Lenovo revela en el sitio web que varios de sus dispositivos portátiles están afectados por tres vulnerabilidades diferentes: CVE-2021-3970, CVE-2021-3971 y CVE-2021-3972, que podrían permitir a los atacantes con privilegios elevados ejecutar código arbitrario. o deshabilite las protecciones flash SPI durante el tiempo de ejecución del sistema operativo.

ESET, la empresa de seguridad que descubrió las vulnerabilidades y las informó a Lenovo, descubrió que dos de las vulnerabilidades afectan a los controladores de firmware UEFI que estaban destinados solo para su uso en el proceso de fabricación. Parece que Lenovo no los desactivó correctamente en los dispositivos de producción.

Dispositivos afectados y correcciones de firmware

Actualización de bios de lenovo

Las vulnerabilidades afectan a varias familias de dispositivos de Lenovo, incluidos los dispositivos Lenovo IdeaPad 3, Flex 3, L340, Legion 5 y 7, Legion Y540, S14, S145, S540, Slim 7 y 9, V14 y V15, y Yoga Slim 7. La lista completa de dispositivos afectados es disponible en el sitio web de soporte de Lenovo.

Lenovo lanzó versiones de firmware actualizadas para algunos de los productos afectados. Para otros, tiene como objetivo entregar actualizaciones de firmware el 10 de mayo de 2022. Los dispositivos que hayan llegado al final del servicio no recibirán actualizaciones de firmware.

Algunos dispositivos no se ven afectados por las tres vulnerabilidades, pero la mayoría sí se ven afectados por las tres vulnerabilidades confirmadas. Lenovo proporciona controladores de firmware actualizados; los clientes deben hacer clic en el enlace de soporte del dispositivo en el sitio web de Lenovo para abrir el sitio web del controlador.

Allí, deben seleccionar BIOS/UEFI para mostrar las actualizaciones de firmware disponibles para descargar la actualización. La página de soporte, que enumera las vulnerabilidades, enumera las versiones de firmware que contienen las correcciones de seguridad.

Las actualizaciones se pueden instalar directamente desde el sistema operativo Windows ejecutando el archivo ejecutable descargado. Hay disponible un archivo Léame para cada archivo de firmware, que proporciona instrucciones sobre cómo instalar la actualización en el dispositivo.

Los clientes también pueden visitar el sitio web principal de soporte de Lenovo para buscar actualizaciones para sus dispositivos de esta manera.

Análisis de las vulnerabilidades en portátiles Lenovo

La empresa de seguridad ESET informó las vulnerabilidades a Lenovo en octubre de 2021. Lenovo confirmó las vulnerabilidades en noviembre de 2021 y solicitó posponer la fecha de divulgación pública hasta abril de 2022. Lenovo publicó el aviso de seguridad el 18 de abril y ESET sus hallazgos y detalles un día después.

La vulnerabilidad CVE-2021-3971 se puede explotar para deshabilitar las protecciones SPI en los dispositivos Lenovo. El firmware UEFI generalmente se almacena en un chip de memoria flash integrado en la placa base de la computadora. Está conectado al procesador a través de la interfaz de periféricos en serie (SPI).

La memoria es independiente del sistema operativo, lo que significa que permanece aunque se reinstale el sistema operativo o se instale otro sistema. Un administrador podría borrar el disco duro de un dispositivo, instalar otro sistema operativo y la adquisición no cambiaría la memoria. Dado que no es volátil, es un objetivo de alto nivel para los actores de amenazas.

Malware como LOJAXel primer rootkit UEFI encontrado en la naturaleza, MosaicRegresoro Rebote Lunarapuntó a la memoria en ataques.

Los fabricantes crearon varios mecanismos de seguridad para proteger el flash SPI contra modificaciones no autorizadas. La principal línea de defensa es «proporcionada por los registros de configuración mapeados en memoria especiales expuestos por el propio conjunto de chips: el registro de control del BIOS y cinco registros de rango protegido».

CVE-2021-3971 puede explotarse creando la variable NVRAM. La explotación exitosa deshabilita las protecciones de escritura flash SPI. Con la variable configurada, el firmware de la plataforma omitirá la ejecución del código que es «responsable de configurar el registro de control del BIOS y las protecciones flash SPI basadas en el registro de rango protegido».

El sistema atacado permite que se modifique el flash SPI, incluso cuando se ejecuta desde un código que no es SMM, lo que hace que los atacantes puedan escribir código malicioso directamente en el almacenamiento del firmware. SMM, System Management Mode, se utiliza para varias tareas, incluida la actualización segura del firmware de un dispositivo o la ejecución de código propietario por parte de los OEM.

ESET señala que cualquier administrador de Windows, con la SE_SYSTEM_ENVIRONMENT_NAME privilegio, puede explotar la vulnerabilidad utilizando la «función de la API de Windows SetFirmwareEnvironmentVariable».

La vulnerabilidad CVE-2021-3972 otorga a los atacantes control sobre varias configuraciones de firmware UEFI. Entre ellos se encuentran el estado de arranque seguro UEFI o la capacidad de restaurar la configuración de fábrica. Los atacantes pueden explotar el problema de seguridad para varias tareas, incluida la desactivación del arranque seguro en el dispositivo.

El arranque seguro es parte de la especificación UEFI. Su objetivo principal es verificar la integridad de los componentes de arranque para garantizar que los componentes puedan ejecutarse. El arranque seguro utiliza bases de datos para determinar los componentes de confianza. Por lo general, los controladores UEFI, las aplicaciones y los OPROM de terceros se verifican, mientras que los controladores en el flash SPI «se consideran implícitamente confiables».

La desactivación de Arranque seguro y, por lo tanto, la desactivación de su proceso de verificación de componentes, permite cargar cualquier componente, incluidos los que no son de confianza o son maliciosos, durante el arranque. Restablecer el firmware UEFI a los valores predeterminados de fábrica también puede tener graves consecuencias, especialmente si llevaría a la carga de componentes con vulnerabilidades de seguridad conocidas.

Un atacante necesita configurar una variable UEFI en dispositivos Lenovo sin parches para aprovechar la vulnerabilidad. Se requiere una cuenta de administrador de Windows con el privilegio SE_SYSTEM_ENVIRONMENT_NAME para llevar a cabo el ataque durante el tiempo de ejecución del sistema operativo.

La tercera vulnerabilidad, CVE-2021-3970, fue descubierta por ESET durante la investigación de la empresa de las otras dos vulnerabilidades. La vulnerabilidad permite operaciones arbitrarias de lectura y escritura desde y hacia SMRAM; esto puede conducir a la «ejecución de código malicioso con privilegios de SMM» y potencialmente a la «implementación de un implante flash SPI».

Palabras de cierre

Lenovo publicó un aviso de seguridad que describe las tres vulnerabilidades y los dispositivos afectados, y actualizaciones de firmware para la mayoría de los dispositivos afectados. Se alienta a los clientes a actualizar el firmware del dispositivo de inmediato para proteger el dispositivo contra ataques dirigidos a las vulnerabilidades.

Algunos dispositivos recibirán la actualización de firmware el 10 de mayo de 2022. Estos seguirán siendo vulnerables al menos hasta esa fecha. Es posible que los clientes deseen consultar la página de soporte nuevamente en la fecha para descargar e instalar la actualización en sus dispositivos.

Varios dispositivos Lenovo no recibirán actualizaciones de firmware. ESET recomienda utilizar una «solución de cifrado de disco completo compatible con TPM capaz de hacer que los datos del disco sean inaccesibles si cambia la configuración de arranque seguro de UEFI».

Por Deyanira