Los piratas informáticos pueden infectar más de 100 modelos de Lenovo con software malicioso. ¿Parcheaste?

Lenovo ha lanzado actualizaciones de seguridad para más de 100 modelos de portátiles para solucionar posibles vulnerabilidades que permiten a los piratas informáticos avanzados instalar en secreto software malicioso que puede ser casi imposible de eliminar o, en algunos casos, detectar.

Las tres vulnerabilidades que afectan a más de 1 millón de computadoras portátiles podrían permitir a los piratas informáticos modificar la UEFI de la computadora. Número corto: Interfaz unificada de firmware ampliable, UEFI es el software que une el firmware de un dispositivo de PC con su sistema operativo. Como la primera pieza de software que funciona cuando prácticamente cualquier máquina moderna está conectada, es el eslabón principal en la cadena de seguridad. Debido a que UEFI está ubicado en el chip flash de la placa base, las infecciones son difíciles de detectar y aún más difíciles de eliminar.

Oh, no

Dos de las vulnerabilidades, CVE-2021-3971 և CVE-2021-3972, están contenidas en los controladores de firmware UEFI que solo están destinados para su uso en la fabricación de computadoras portátiles de consumo de Lenovo. Los ingenieros de Lenovo incluyeron controladores sin darse cuenta en las imágenes de producción del BIOS sin apagar correctamente. Los piratas informáticos pueden usar estos controladores defectuosos para deshabilitar la protección, incluido el arranque seguro UEFI, los bits de registro de administración del BIOS y los registros de dominio protegidos que están instalados. Interfaz periférica de serie (SPI): está diseñado para evitar cambios no autorizados en el firmware que se está ejecutando.

Luego de identificar y analizar la vulnerabilidad, los investigadores de ESET identificaron la tercera vulnerabilidad, CVE-2021-3970. Permite a los piratas informáticos ejecutar software malicioso cuando la máquina se pone en modo de administración del sistema, un modo operativo altamente privilegiado comúnmente utilizado por los fabricantes de hardware para ejecutar la administración del sistema de bajo nivel.

«Según la descripción, todos estos son ataques bastante ‘oh no’ para desarrolladores avanzados», dijo a Ars Tramel Hudson, un investigador de seguridad especializado en piratas informáticos. «Omitir los permisos de flash SPI es bastante malo».

Dijo que la gravedad podría aliviarse con medidas de protección como BootGuard, que están diseñadas para evitar que personas malintencionadas inicien software malicioso durante el proceso de descarga. Posteriormente, los investigadores identificaron previamente vulnerabilidades críticas que interrumpen BootGuard. Éstos incluyen: trío de defectos Descubierto por Hudson en 2020, que impedía que la protección funcionara cuando la computadora se apagaba.

Se arrastra en la corriente principal

Todavía es raro que los llamados implantes SPI se vuelvan más comunes. Una de las mayores amenazas en Internet, una pieza maliciosa conocida como Trickbot, en 2020 comenzó a incluir un controlador en su base de datos de códigos, lo que permite a las personas: Escriba el firmware en casi cualquier dispositivo. Solo hay otros dos casos documentados de malware UEFI que se utilizan en la naturaleza Loaxescrito por un grupo de piratas informáticos del estado ruso conocido por muchos nombres, incluidos Sednit, Fancy Bear o APT 28. El segundo caso fue el malware de UEFI, una empresa de seguridad. Kaspersky descubierto en las computadoras de los diplomáticos en Asia.

Las tres vulnerabilidades de Lenovo descubiertas por ESET requieren acceso local, lo que significa que el atacante ya debe tener control sobre el vehículo vulnerable con privilegios ilimitados. Tal umbral de acceso es alto, probablemente requerirá la explotación de una o más vulnerabilidades que ya pondrían al usuario en un riesgo significativo.

Sin embargo, las vulnerabilidades son graves, ya que pueden infectar equipos portátiles vulnerables con malware que supera lo que suele ser posible con malware más común. Lenovo tiene una lista aquí: de más de 100 modelos afectados.