Descubren vulnerabilidades en portátiles Lenovo que permiten a los atacantes ejecutar malware a nivel de firmware

El modelo Lenovo Gaming Legion 7
El modelo Lenovo Gaming Legion 7 - LENOVO
Publicado: martes, 19 abril 2022 17:22

   MADRID, 19 Abr. (Portaltic/EP) -

   Los investigadores de la empresa de ciberseguridad ESET han descubierto y analizado tres vulnerabilidades que afectan a varios modelos de portátiles Lenovo y que permitirían el acceso a los atacantes para desplegar 'malware' en el 'firmware'.

   Según ha señalado la compañía en un comunicado remitido a Europa Press, los ciberdelincuentes podrían ejecutar con éxito el 'software' malicioso que afecta a los controladores del 'firmware' para la Interfaz de Firmware Extensible Unificada (UEFI, por sus siglas en inglés) para proceder a estos ataques, ejecutados en forma de implante flash SPI como LoJax o 'bootkit' ESPecter.

   "Las amenazas UEFI pueden ser extremadamente sigilosas y peligrosas. Se ejecutan al principio del proceso de arranque, antes de transferir el control al sistema operativo, lo que significa que pueden eludir casi todas las medidas de seguridad", ha comentado el investigador Marín Smolár, descubridor de estos errores en los equipos de la marca china.

   Tal y como ha reconocido la empresa, informó a Lenovo de todas estas vulnerabilidades en octubre de 2021, cuando dio a conocer un listado de los dispositivos afectados con más de cien modelos diferentes de portátiles y millones de usuarios en todo el mundo.

   Determinó que las dos primeras, CVE-2021-3971 y CVE-2021-3972, afectaban a los controladores de 'firmware' para UEFI, originalmente destinados a ser utilizados solo durante el proceso de fabricación de los dispositivos.

   Sin embargo, como han apuntado desde ESET, los controladores se incluyeron por error también en las imágenes de los sistemas básicos de entrada y de salida (BIOS, por sus siglas en inglés) de producción sin ser desactivados correctamente.

La tercera vulnerabilidad, registrada como CVE-2021-3970 se refiere a un fallo de corrupción de memoria SMM dentro de la función handler SW SMI, que permite la lectura y escritura arbitraria, la ejecución de código malicioso con privilegios de SMM y, potencialmente, el despliegue de un implante flash SPI.

   Según ha informado Smolár, todas las amenazas UEFI descubiertas en los últimos años (como LoJax, MosaicRegressor, MoonBounce, ESPecter y FinSpy) "necesitaban saltarse o desactivar los mecanismos de seguridad de alguna manera para poder desplegarse y ejecutarse".

   Por ese motivo, ha aconsejado a todos los propietarios de portátiles Lenovo la revisión de la lista de dispositivos afectados compartida por el fabricante y actualizar su 'firmware' a la última versión disponible.

Leer más acerca de: