La división de soporte de Lenovo ha publicado un aviso que avisa de tres nuevas vulnerabilidades que afectan a sus ordenadores portátiles. Todas ellas podrían permitir a un atacante obtener privilegios de administrador. Más de 100 modelos de portátiles de Lenovo están afectados por estas vulnerabilidades, que los investigadores de ESET descubrieron recientemente.
Lenovo afirma que tiene actualizaciones del firmware del sistema listas o en camino para mitigar estos nuevos problemas de seguridad. El fabricante compartió los tres códigos identificadores de CVE y sus descripciones, estableciendo el potencial de daño si no se aplica el parche.
Tres nuevas vulnerabilidades UEFI para portátiles de Lenovo
Loas tres errores con us descripciones son los siguientes:
- CVE-2021-3970: Una potencial vulnerabilidad en el LenovoVariable SMI Handler debido a una validación insuficiente puede permitir a un atacante con acceso local y privilegios elevados ejecutar código arbitrario.
- CVE-2021-3971: Una vulnerabilidad potencial por un controlador utilizado durante procesos de fabricación antiguos que se incluyó por error en la imagen de la BIOS podría permitir a un atacante con privilegios elevados modificar la región de protección del firmware mediante la modificación de una variable NVRAM.
- CVE-2021-3972: Una posible vulnerabilidad de un controlador utilizado durante el proceso de fabricación que no se desactivó por error podría permitir a un atacante con privilegios elevados modificar la configuración de arranque seguro mediante la modificación de una variable NVRAM.
Los nuevos errores podrían permitir la lectura y escritura arbitraria desde o a la SMRAM, lo que puede llevar a la ejecución de código malicioso, a un nivel altamente privilegiado. Un atacante podría desactivar directamente las protecciones de la memoria flash UEFI o la función de arranque seguro UEFI. También podrían entonces desplegar y ejecutar con éxito o implantar malware, que es difícil de detectar y de eliminar, ya que puede cargarse antes que el sistema operativo.
ESET descubrió el trío de vulnerabilidades el pasado mes de octubre, y Lenovo confirmó los fallos y asignó los CVE en noviembre. Tienen en desarrollo parches de firmware disponibles para muchos de los modelos de portátiles afectados. Pero algunos portátiles afectados no recibirán el parche, ya que el dispositivo es demasiado antiguo y ha alcanzado el Fin de Soporte de Desarrollo.
Tras todo esto, solamente queda esperar a que Lenovo publique los parches oficiales para actualizar la seguridad de los portátiles afectados que pueden recibir la actualización. Hasta entonces, habrá que estar atentos ante posibles ataques de software malicioso.
Fuente: Tom’s Hardware