Los piratas informáticos pueden infectar más de 100 modelos de Lenovo con malware que no se puede eliminar. ¿Estás parcheado?

imágenes falsas

Lenovo ha lanzado actualizaciones de seguridad para más de 100 modelos de portátiles a fin de corregir vulnerabilidades críticas que hacen posible que los piratas informáticos avanzados instalen subrepticiamente firmware malicioso que puede ser casi imposible de eliminar o, en algunos casos, detectar.

Tres vulnerabilidades que afectan a más de 1 millón de computadoras portátiles pueden dar a los piratas informáticos la capacidad de modificar la UEFI de una computadora. Abreviatura de Interfaz de firmware extensible unificada, UEFI es el software que une el firmware del dispositivo de una computadora con su sistema operativo. Como la primera pieza de software que se ejecuta cuando se enciende prácticamente cualquier máquina moderna, es el eslabón inicial en la cadena de seguridad. Debido a que UEFI reside en un chip flash en la placa base, las infecciones son difíciles de detectar y aún más difíciles de eliminar.

Oh, no

Dos de las vulnerabilidades, rastreadas como CVE-2021-3971 y CVE-2021-3972, residen en los controladores de firmware UEFI destinados a usarse solo durante el proceso de fabricación de las computadoras portátiles de consumo de Lenovo. Los ingenieros de Lenovo incluyeron sin darse cuenta los controladores en las imágenes del BIOS de producción sin desactivarlos correctamente. Los piratas informáticos pueden explotar estos controladores defectuosos para deshabilitar las protecciones, incluido el arranque seguro UEFI, los bits de registro de control del BIOS y el registro de rango protegido, que se integran en la interfaz periférica en serie (SPI) y están diseñados para evitar cambios no autorizados en el firmware que ejecuta.

Después de descubrir y analizar las vulnerabilidades, los investigadores de la empresa de seguridad ESET encontraron una tercera vulnerabilidad, CVE-2021-3970. Permite a los piratas informáticos ejecutar firmware malicioso cuando una máquina se pone en modo de administración del sistema, un modo operativo de alto privilegio que suelen utilizar los fabricantes de hardware para la administración del sistema de bajo nivel.

“Basándonos en la descripción, esos son tipos de ataques bastante ‘oh no’ para atacantes lo suficientemente avanzados”, dijo a Ars Trammel Hudson, un investigador de seguridad especializado en piratería de firmware. “Omitir los permisos de flash SPI es bastante malo”.

Dijo que la gravedad puede reducirse con protecciones como BootGuard, que está diseñado para evitar que personas no autorizadas ejecuten firmware malicioso durante el proceso de arranque. Por otra parte, los investigadores en el pasado han descubierto vulnerabilidades críticas que subvierten BootGuard. Incluyen un trío de fallas descubiertas por Hudson en 2020 que impedían que la protección funcionara cuando una computadora salía del modo de suspensión.

Entrando en la corriente principal

Si bien aún son raros, los llamados implantes SPI son cada vez más comunes. Una de las mayores amenazas de Internet, una pieza de malware conocida como Trickbot, en 2020 comenzó a incorporar un controlador en su base de código que permite a las personas escribir firmware en prácticamente cualquier dispositivo. Los únicos otros dos casos documentados de firmware UEFI malicioso que se usa en la naturaleza son LoJax, que fue escrito por el grupo de piratas informáticos del estado ruso conocido con varios nombres, incluidos Sednit, Fancy Bear o APT 28. La segunda instancia fue el malware UEFI que la seguridad firma Kaspersky descubrió en las computadoras de figuras diplomáticas en Asia.

Las tres vulnerabilidades de Lenovo descubiertas por ESET requieren acceso local, lo que significa que el atacante ya debe tener control sobre la máquina vulnerable con privilegios ilimitados. El listón para ese tipo de acceso es alto y probablemente requiera explotar una o más vulnerabilidades críticas en otros lugares que ya pondrían al usuario en un riesgo considerable.

Aun así, las vulnerabilidades son graves porque pueden infectar portátiles vulnerables con malware que va mucho más allá de lo que normalmente es posible con malware más convencional. Lenovo tiene aquí una lista de más de 100 modelos afectados.

Add Comment