Falhas de segurança da Lenovo UEFI que afetam mais de 100 modelos de laptop descobertos, a empresa emite patches de firmware

A Lenovo emitiu um aviso de segurança relacionado a três vulnerabilidades de segurança encontradas em vários laptops. As falhas afetam mais de 100 modelos de laptops Lenovo, nos portfólios IdeaPad, Legion e Yoga da empresa. Usando as vulnerabilidades, um invasor pode desabilitar o recurso de inicialização segura da Unified Extensible Firmware Interface (UEFI) e executar código arbitrário no laptop. O fabricante aconselhou os usuários com modelos de laptop afetados a atualizar para o firmware mais recente para esses dispositivos no site oficial, a fim de permanecerem protegidos.

Três vulnerabilidades foram descobertas por pesquisadores da ESET e afetam o recurso UEFI Secure Boot, projetado para verificar e carregar código confiável quando o laptop é inicializado. Eles foram divulgados com responsabilidade pelos pesquisadores à Lenovo em outubro de 2021. As vulnerabilidades foram confirmadas pela empresa em novembro e receberam três CVEs (vulnerabilidades e exposições comuns) – CVE-2021-3970, CVE-2021-3971 e CVE-2021 -3972, e um aviso de segurança foi Publicados pelo fabricante na segunda-feira.

De acordo com a ESET, que Publicados uma análise técnica detalhada das falhas de segurança, duas das vulnerabilidades – CVE-2021-3971 (SecureBackDoor) e CVE-2021-3972 (ChgBootDxeHook), foram introduzidas pela empresa depois que dois drivers de firmware UEFI foram incluídos acidentalmente no firmware. Esses drivers são usados ​​apenas na fabricação do laptop e podem ser explorados por invasores para desativar o recurso UEFI Secure Boot e desativar a proteção do chip de memória flash que armazena o firmware UEFI. O software de segurança e outras soluções no sistema operacional não poderão detectar essas ameaças à medida que são executadas no início do processo de inicialização — antes que o sistema operacional seja carregado.

Para contornar todos os recursos de segurança oferecidos pelo Secure Boot, ameaças UEFI como as descobertas pela ESET, desativam os mecanismos seguros projetados para carregar código confiável. De acordo com os pesquisadores, todas as ameaças UEFI descobertas na natureza, incluindo LoJax, MosaicRegressor, MoonBounce, ESPeter, FinSpy foram capazes de contornar esses mecanismos para executar seu código malicioso. Falhas de segurança semelhantes também foram descobertas no firmware da HP, Publicados por SentinelOne no mês passado.

Os pesquisadores também encontraram uma terceira falha de segurança – ou CVE-2021-3970 (LenovoVariableSmm), que pode levar à execução arbitrária de código na RAM de gerenciamento do sistema (ou SMRAM), com privilégios elevados. Em alguns casos, ele pode ser usado para ativar o driver ChgBootDxeHook para desativar o recurso UEFI Secure Boot, de acordo com os pesquisadores da ESET. Todas as três vulnerabilidades de segurança descobertas exigem que o invasor tenha acesso local ao dispositivo, mas vale a pena notar que a Lenovo atribuiu às falhas um nível de gravidade “Médio” em seu aviso.

Mais de 100 modelos de laptops de consumo usados ​​por milhões de usuários são afetados pelas falhas de segurança, de acordo com os pesquisadores. Os usuários que possuem dispositivos com suporte de desenvolvimento ativo podem download a atualização de firmware mais recente para seu laptop no site de consultoria da Lenovo. No entanto, vários outros dispositivos afetados não serão corrigidos, pois atingiram o End of Development Support (EODS). No entanto, esses usuários podem usar uma criptografia de disco completo compatível com TPM para tornar os dados do disco inacessíveis se a configuração do UEFI Secure Boot tiver sido modificada, de acordo com os pesquisadores da ESET.