Lenovo ha lanzado actualizaciones de seguridad para más de 100 modelos de portátiles a fin de solucionar vulnerabilidades críticas que hacen posible que los piratas informáticos avanzados instalen subrepticiamente firmware malicioso que, en algunos casos, puede ser imposible de eliminar o detectar.
Tres vulnerabilidades que afectan a más de un millón de computadoras portátiles pueden dar a los piratas informáticos la capacidad de modificar la UEFI de la computadora. corto para Interfaz de software extendida unificadaUEFI es el software que conecta el firmware de una computadora a su sistema operativo. Como la primera pieza de software que se ejecuta cuando enciende casi cualquier dispositivo moderno, es el eslabón inicial en la cadena de seguridad. Debido a que UEFI está integrado en un chip flash en la placa base, la infección es difícil de detectar e incluso de eliminar.
Oh, no
Existen dos vulnerabilidades, rastreadas como CVE-2021-3971 y CVE-2021-3972, en los controladores de firmware UEFI que están destinados a usarse solo durante el proceso de fabricación de las computadoras portátiles de consumo de Lenovo. Los ingenieros de Lenovo incluyeron controladores sin darse cuenta en las imágenes de BIOS de producción sin desactivarlos correctamente. Los piratas informáticos pueden explotar los controladores defectuosos para deshabilitar las protecciones, incluido el arranque seguro UEFI, los bits de registro de control del BIOS y el registro de rango protegido, que se almacenan en interfaz de terminal serie (SPI) y diseñado para evitar cambios no autorizados en el firmware que se está ejecutando.
Después de descubrir y analizar las vulnerabilidades, los investigadores de la empresa de seguridad ESET encontraron una tercera vulnerabilidad, CVE-2021-3970. Permite a los piratas informáticos ejecutar firmware malicioso cuando el dispositivo se pone en modo de administración del sistema, un modo operativo altamente privilegiado que suelen utilizar los fabricantes de hardware para la administración del sistema de bajo nivel.
Trammell Hudson, un investigador de seguridad que se especializa en la piratería de firmware, le dijo a Ars: «Según la descripción, todos estos son buenos tipos de ataques.» Oh, no «Para atacantes avanzados suficiente. «Pasar por alto los permisos SPI flash es algo muy malo.»
Dijo que el riesgo podría reducirse con protecciones como BootGuard, que está diseñado para evitar que personas no autorizadas ejecuten firmware malicioso durante el proceso de arranque. Por otra parte, los investigadores han descubierto en el pasado vulnerabilidades críticas que comprometen a BootGuard. Incluyen defectos triples Fue descubierto por Hudson en 2020 que impedía que la protección funcionara cuando la computadora salía del modo de suspensión.
Entrar en la corriente principal
Si bien aún son raros, los llamados implantes SPI se están volviendo cada vez más comunes. Una de las mayores amenazas de Internet, una pieza de malware conocida como Trickbot, comenzó en 2020 incorporando un iniciador en su base de código que permite a las personas Escribe firmware en casi cualquier dispositivo. Los únicos otros dos casos documentados de firmware UEFI malicioso utilizado en la naturaleza son LOJAXque fue escrito por un grupo de piratas informáticos del gobierno ruso conocido por varios nombres, incluidos Sednit, Fancy Bear o APT 28. El segundo caso fue el malware UEFI utilizado por la empresa de seguridad. Descubre Kaspersky en los ordenadores de personalidades diplomáticas de Asia.
Las tres vulnerabilidades de Lenovo descubiertas por ESET requieren acceso local, lo que significa que el atacante ya debe tener el control del dispositivo vulnerable con privilegios sin restricciones. La barrera para este tipo de acceso es alta y probablemente requiera explotar una o más vulnerabilidades críticas en otros lugares que ya pondrían al usuario en un gran riesgo.
Sin embargo, las vulnerabilidades son peligrosas porque pueden infectar computadoras portátiles vulnerables con malware que supera con creces lo que suele ser posible con el malware tradicional. Lenovo tiene una lista aquí De más de 100 modelos afectados.
More Stories
El ex director de «Marathon» ha sido despedido de Bungie por mala conducta
Lanzamiento físico de Castlevania Dominus Collection confirmado, los pedidos anticipados se abrirán el próximo mes
Bethesda tiene el mejor juego independiente por 100 dólares