El fabricante de PCs Lenovo ha solucionado otra serie de tres vulnerabilidades en el firmware UEFI (Unified Extensible Firmware Interface) que afectan a varios dispositivos Yoga, IdeaPad y ThinkBook. "Las vulnerabilidades permiten desactivar el Secure Boot de UEFI o restaurar las bases de datos de Secure Boot predeterminadas de fábrica (incl. dbx): todo ello simplemente desde un sistema operativo", explicó la empresa eslovaca de ciberseguridad ESET en una serie de tuits. |
La UEFI es un software que actúa como interfaz entre el sistema operativo y el firmware integrado en el hardware del dispositivo. Dado que la UEFI se encarga de lanzar el sistema operativo cuando se enciende un dispositivo, ha convertido esta tecnología en una opción atractiva para los atacantes que buscan lanzar malware difícil de detectar y eliminar.
Visto así, los fallos, rastreados como CVE-2022-3430, CVE-2022-3431 y CVE-2022-3432, podrían ser aprovechados por un delincuente para desactivar Secure Boot, un mecanismo de seguridad diseñado para evitar que se carguen programas maliciosos durante el proceso de arranque.
El aviso de Lenovo describe las vulnerabilidades de la siguiente manera
- CVE-2022-3430: Una posible vulnerabilidad en el controlador de configuración WMI en algunos dispositivos portátiles Lenovo de consumo puede permitir a un atacante con privilegios elevados modificar la configuración de Secure Boot mediante la modificación de una variable NVRAM.
- CVE-2022-3431: Una posible vulnerabilidad en un controlador utilizado durante el proceso de fabricación en algunos dispositivos Lenovo Notebook de consumo que no se desactivó por error puede permitir a un atacante con privilegios elevados modificar la configuración de Secure Boot mediante la modificación de una variable NVRAM.
- CVE-2022-3432: Una posible vulnerabilidad en un controlador utilizado durante el proceso de fabricación en el IdeaPad Y700-14ISK que no fue desactivado por error puede permitir a un atacante con privilegios elevados modificar la configuración de Secure Boot mediante la modificación de una variable NVRAM.
En otras palabras, la desactivación de UEFI Secure Boot hace posible que los atacantes ejecuten cargadores de arranque falsos, lo que les otorga acceso privilegiado a los hosts comprometidos.
ESET dijo que las vulnerabilidades no eran fallos en el código fuente en sí, sino que surgieron porque los "controladores estaban destinados a ser utilizados sólo durante el proceso de fabricación, pero se incluyeron por error en la producción."
La última actualización marca la tercera vez que Lenovo se ha esforzado por corregir fallos en su firmware UEFI desde principios de año, todos los cuales han sido descubiertos y reportados por el investigador de ESET Martin Smolár.
Mientras que el primer conjunto de problemas (CVE-2021-3970, CVE-2021-3971 y CVE-2021-3972) podría haber permitido a los delincuentes desplegar y ejecutar implantes de firmware en los dispositivos afectados, el segundo lote (CVE-2022-1890, CVE-2022-1891 y CVE-2022-1892) podría ser utilizado como arma para lograr la ejecución de código arbitrario y desactivar las funciones de seguridad.
Lenovo dijo que no tiene intención de publicar correcciones para CVE-2022-3432 debido a que el modelo en cuestión ha llegado al final de su vida útil (EoL). Se recomienda a los usuarios de los demás dispositivos afectados que actualicen su firmware a la última versión.
Fuente: https://thehackernews.com/2022/11/new-uefi-firmware-flaws-reported-in.html