A Lenovo emitiu alerta de segurança relacionado a três vulnerabilidades encontradas em vários laptops. As falhas afetam mais de 100 modelos da marca, das linhas IdeaPad, Legion e Yoga. As falhas possibilitam que um invasor desabilite o recurso de inicialização segura da Unified Extensible Firmware Interface (UEFI) e execute código arbitrário nos laptops. A fabricante aconselha os usuários dos modelos afetados a atualizar para o firmware mais recente para esses dispositivos em seu site oficial, a fim de permanecerem protegidos.
As três vulnerabilidades foram descobertas por pesquisadores da ESET e afetam o recurso UEFI Secure Boot, projetado para verificar e carregar código confiável quando o laptop é inicializado. Elas foram comunicadas pelos pesquisadores à Lenovo em outubro de 2021. As vulnerabilidades foram confirmadas pela empresa em novembro e identificadas por três CVEs (vulnerabilidades e exposições comuns) — CVE-2021-3970, CVE-2021-3971 e CVE-2021 -3972 — e um aviso de segurança foi publicado pela fabricante na segunda-feira, 18.
De acordo com a ESET, que publicou uma análise técnica detalhada das falhas de segurança, duas das vulnerabilidades — CVE-2021-3971 (SecureBackDoor) e CVE-2021-3972 (ChgBootDxeHook) — foram introduzidas pela empresa após dois drivers de firmware UEFI serem acidentalmente incluídos no firmware. Esses drivers são usados apenas na fabricação de laptops e podem ser explorados por invasores para desativar o recurso UEFI Secure Boot e desativar a proteção do chip de memória flash que armazena o firmware UEFI. O software de segurança e outras soluções no sistema operacional não podem detectar essas ameaças à medida que são executadas no início do processo de inicialização — antes que o sistema operacional seja carregado.
Para contornar todos os recursos de segurança oferecidos pelo Secure Boot, ameaças UEFI, como as descobertas pela ESET, desativam os mecanismos seguros projetados para carregar código confiável. De acordo com os pesquisadores, todas as ameaças UEFI descobertas na natureza, incluindo LoJax, MosaicRegressor, MoonBounce, ESPeter, FinSpy foram capazes de contornar esses mecanismos para executar seu código malicioso. Falhas de segurança semelhantes também foram descobertas no firmware da HP, publicadas pela SentinelOne no mês passado.
Veja isso
Laptops Lenovo vulneráveis dão privilégios de administrador
Lenovo alerta sobre travamento de laptops causado pelo Windows 10
Os pesquisadores também encontraram uma terceira falha de segurança — ou CVE-2021-3970 (LenovoVariableSmm) —, que pode levar à execução arbitrária de código na memória RAM de gerenciamento do sistema (ou SMRAM), com privilégios elevados. Em alguns casos, ela pode ser usado para ativar o driver ChgBootDxeHook para desativar o recurso UEFI Secure Boot, de acordo com os pesquisadores da ESET.
Todas as três vulnerabilidades de segurança descobertas exigem que o invasor tenha acesso local ao dispositivo, mas vale a pena notar que a Lenovo atribuiu às falhas um nível de gravidade “média” em seu aviso.
Os usuários que possuem dispositivos com suporte de desenvolvimento ativo podem baixar a atualização de firmware mais recente para seus laptops no site de consultoria da Lenovo. No entanto, vários outros dispositivos afetados não serão corrigidos, pois atingiram o End of Development Support (EODS). No entanto, esses usuários podem usar uma criptografia de disco completo compatível com TPM para tornar os dados do disco inacessíveis se a configuração do UEFI Secure Boot tiver sido modificada, de acordo com os pesquisadores da ESET.