Lenovo ha corretto tre bug di cui si potrebbe abusare per eseguire attacchi UEFI.
Scoperte dal ricercatore ESET Martin Smolár, le vulnerabilità, assegnate come CVE-2021-3970, CVE-2021-3971 e CVE-2021-3972; potrebbero essere sfruttate per distribuire ed eseguire con successo il malware UEFI sotto forma di impianti flash SPI come LoJax o impianti ESP come ESPecter nel BIOS del notebook Lenovo.
Negli attacchi informatici UEFI, le operazioni dannose sono caricate su un dispositivo compromesso in una fase iniziale del processo di avvio. Ciò significa che il malware può manomettere i dati di configurazione, stabilire la persistenza e potrebbe essere in grado di aggirare le misure di sicurezza che sono caricate solo nella fase del sistema operativo.
Martedì, ESET ha affermato che le vulnerabilità hanno un impatto su più di cento diversi modelli di laptop consumer con milioni di utenti in tutto il mondo; sono causate da driver pensati per essere utilizzati solo durante la fase di sviluppo del prodotto Lenovo.
L'elenco dei prodotti interessati include IdeaPad, dispositivi di gioco Legion e laptop Flex e Yoga.
Lenovo: ecco le vulnerabilità
La prima vulnerabilità, CVE-2021-3970, ha un impatto sulla funzione del gestore SMI SW. Questo problema di danneggiamento della memoria SMM, causato da una convalida dell'input impropria, consente agli aggressori di leggere/scrivere in SMRAM; a sua volta, potrebbe consentire l'esecuzione di codice dannoso con privilegi SMM e l'implementazione di impianti flash SPI.
Le altre due vulnerabilità, CVE-2021-3971 e CVE-2021-3972, riguardano driver denominati SecureBackDoor e SecureBackDoorPeim.
Lenovo descrive il primo difetto di sicurezza come una potenziale vulnerabilità di un driver utilizzato durante i processi di produzione meno recenti su alcuni dispositivi Lenovo Notebook consumer che è erroneamente incluso nell'immagine del BIOS; il bug potrebbe consentire a un utente malintenzionato con privilegi elevati di modificare la protezione del firmware di una variabile NVRAM.
Il secondo problema è una potenziale vulnerabilità di un driver utilizzato durante il processo di produzione su alcuni dispositivi Lenovo Notebook consumer che non è stato erroneamente disattivato e che potrebbe consentire a un utente malintenzionato con privilegi elevati di modificare le impostazioni di avvio sicuro modificando un variabile NVRAM.
Quando interrogati dal software Lenovo, i driver potrebbero essere compromessi per disabilitare le protezioni flash e UEFI Secure Boot. Gli aggressori con un livello di privilegio sufficientemente elevato possono sfruttare CVE-2021-3971 per modificare le impostazioni del firmware UEFI. Non solo, CVE-2021-3972 richiede la manomissione delle variabili NVRAM per distribuire impianti dannosi.
Dalla segnalazione alle patch
ESET ha segnalato le tre vulnerabilità a Lenovo l'11 ottobre 2021. Le falle di sicurezza furono già valutate e confermate a novembre. Le patch sono ora rilasciate, portando alla divulgazione pubblica di aprile.
Si consiglia agli utenti di aggiornare immediatamente il proprio firmware.