La estafa del controlador de Lenovo plantea un riesgo de seguridad para los usuarios de 25 modelos de portátiles

La estafa del controlador de Lenovo plantea un riesgo de seguridad para los usuarios de 25 modelos de portátiles

Imágenes falsas:

Más de dos docenas de modelos de portátiles Lenovo son vulnerables a piratas informáticos malintencionados que desactivan el proceso de arranque seguro de UEFI y luego ejecutan aplicaciones UEFI sin firmar o cargan cargadores de arranque que configuran puertas traseras de forma permanente, advirtieron los investigadores el miércoles.

Mientras tanto, investigadores de la empresa de seguridad ESET descubierto la vulnerabilidadel fabricante de cuadernos actualizaciones de seguridad publicadas Para 25 modelos, incluidos ThinkPads, Yoga Slims e IdeaPads. Las vulnerabilidades que comprometen un arranque UEFI seguro pueden ser graves porque permiten a los atacantes instalar firmware malicioso que sobrevive a varias reinstalaciones del sistema operativo.

No es común, ni siquiera es raro

Abreviatura de Interfaz de firmware extensible unificada, UEFI es el software que une el firmware del dispositivo de una computadora con su sistema operativo. Como la primera pieza de código que se ejecuta cuando se enciende prácticamente cualquier máquina moderna, es el primer eslabón de la cadena de seguridad. Debido a que UEFI reside en el chip flash de la placa base, las infecciones son difíciles de detectar y eliminar. Las medidas típicas, como limpiar el disco duro y reinstalar el sistema operativo, no tienen un efecto significativo, ya que la infección UEFI simplemente volverá a infectar la computadora después.

ESET dice que las vulnerabilidades, CVE-2022-3430, CVE-2022-3431 y CVE-2022-3432, «permiten deshabilitar UEFI Secure Boot o restaurar las bases de datos de Secure Boot predeterminadas de fábrica (incluido dbx); «. El arranque seguro utiliza bases de datos para permitir y denegar mecanismos. La base de datos DBX almacena específicamente los hashes criptográficos de las claves rechazadas. Deshabilitar o restaurar los valores predeterminados en las bases de datos permite que un atacante elimine las restricciones que normalmente se aplicarían.

READ  Las ventajas de los bancos digitales

«Cambiar el firmware del sistema operativo no es común, incluso raro», dijo en una entrevista un investigador de seguridad de firmware, que prefirió no ser identificado. “La mayoría de la gente piensa que para cambiar el firmware o la configuración del BIOS, debe tener acceso físico para presionar el botón DEL en el momento del arranque para ingresar a la configuración y hacer las cosas allí. Cuando puedes hacer algunas cosas desde el sistema operativo, eso es un gran problema».

La desactivación del arranque seguro UEFI libera a los atacantes de ejecutar aplicaciones UEFI maliciosas, lo que normalmente no es posible porque el arranque seguro requiere una firma criptográfica de las aplicaciones UEFI. Mientras tanto, restaurar DBX a los valores predeterminados de fábrica permite a los atacantes iniciar cargadores de arranque vulnerables. En agosto, investigadores de la empresa de seguridad Eclypsium identificó tres controladores de software prominentes que se puede usar para eludir el arranque seguro cuando un atacante tiene privilegios elevados, es decir, administrador en Windows o root en Linux.

Las vulnerabilidades se pueden explotar manipulando variables en NVRAM, la memoria RAM no volátil que almacena diferentes opciones de arranque. La vulnerabilidad es el resultado de que Lenovo envió por error computadoras portátiles con controladores que estaban destinados a usarse solo durante la producción. Los lados vulnerables son:

  • CVE-2022-3430. Una posible vulnerabilidad en el controlador de configuración de WMI para algunos dispositivos de consumo de portátiles Lenovo podría permitir que un atacante con privilegios elevados modifique la configuración de arranque seguro cambiando la variable NVRAM.
  • CVE-2022-3431. Una posible vulnerabilidad en un controlador utilizado durante el proceso de fabricación de algunos dispositivos portátiles de Lenovo para consumidores que no se deshabilitó por error podría permitir que un atacante elevado modifique la configuración de arranque seguro modificando la variable NVRAM.
  • CVE-2022-3432. Una vulnerabilidad potencial en un controlador de producción Ideapad Y700-14ISK que no se desactivó por error podría permitir que un atacante con privilegios elevados modifique la configuración de arranque seguro ajustando la variable NVRAM.
READ  La actualización para Windows 10 և Windows 11 sin conexión está completa

Lenovo solo parchea los dos primeros. CVE-2022-3432 no se parcheará porque la empresa ya no es compatible con Ideapad Y700-14ISK, el modelo de portátil afectado al final de su vida útil. Las personas que utilicen cualquiera de los otros modelos vulnerables deben instalar los parches lo antes posible.

Ir a debate…

Check Also

Samsung anuncia el primer evento Galaxy Unpacked en Corea del Sur

Samsung anuncia el primer evento Galaxy Unpacked en Corea del Sur

Última actualización: 25 de julio de 2023 06:17 UTC+02:00 Estamos a solo unos días del …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *