Más de dos docenas de modelos de portátiles Lenovo eran vulnerables a la desactivación del Arranque seguro en UEFI (Arranque seguro) y permitían ejecutar aplicaciones UEFI sin firmar, así como descargar cargadores de arranque que crean una puerta trasera permanente en el dispositivo. El problema surgió debido a un controlador que podía cambiar las opciones de arranque seguro directamente desde el sistema operativo.
El arranque seguro forma parte de la especificación UEFI y está diseñado para proteger el proceso de arranque del sistema operativo de modo que solo se ejecute código de confianza firmado con un certificado especial. Ejecutar código malicioso sin firmar antes de que se inicie el sistema operativo puede tener consecuencias muy graves, ya que un atacante puede eludir todos los mecanismos de protección e inyectar malware que no se puede eliminar ni siquiera reinstalando el sistema operativo.
Los expertos de ESET informaron sobre tres vulnerabilidades que amenazan a los dispositivos Lenovo (incluidas las series ThinkBook, IdeaPad y Yoga) . Escriben que los errores detectados permitieron deshabilitar UEFI Secure Boot o restaurar la configuración de fábrica de la base de datos de Secure Boot (incluido dbx), y directamente desde el sistema operativo.
Se observa que las vulnerabilidades surgieron no debido a un error real en el código, sino a un controlador que se suponía que se usaría solo durante el desarrollo, pero que se instaló por error en los dispositivos seriales.
Según ESET, las vulnerabilidades podrían haberse explotado simplemente creando variables NVRAM especiales. Los investigadores citan al técnico de IS Nikolaj Schlej en Twitter para explicar por qué los desarrolladores de firmware UEFI generalmente deberían evitar el uso de NVRAM.
Como resultado, dos parches ya lanzados por Lenovo eliminaron las siguientes vulnerabilidades:
- CVE-2022-3430: una vulnerabilidad en el controlador de configuración de WMI en algunas computadoras portátiles Lenovo podría permitir que un atacante elevado cambie la configuración de arranque seguro modificando la variable NVRAM.
- CVE-2022-3431: una vulnerabilidad en el controlador mencionado (que no debería haber afectado a los dispositivos de producción) también permitió que un atacante elevado cambiara la configuración de arranque seguro cambiando la variable NVRAM.
Además, existe una tercera vulnerabilidad similar a la que se le ha asignado el ID CVE-2022-3432, pero solo afecta a los dispositivos Ideapad Y700-14ISK. Lenovo no lanzará una solución para este error ya que el soporte para estos dispositivos ya finalizó.
Puede encontrar una lista completa de las computadoras portátiles afectadas y los enlaces a los parches en el Boletín de seguridad de Lenovo . Las versiones de firmware que solucionan las vulnerabilidades se indican en los identificadores CVE, es decir, debe actualizar a la versión especificada o superior.
Fuente: https://xakep.ru/
0 Comentarios