Más de cien modelos de portátiles Lenovo deben actualizar sus BIOS tras descubrirse tres vulnerabilidades

Malas noticias para los propietarios de portátiles del fabricante Lenovo. ESET, empresa de ciberseguridad, ha descubierto y analizado tres vulnerabilidades que afectan a 114 modelos de portátiles de la marcay que permitirían el acceso a los atacantes para desplegar “malware” en el “firmware”, incluyendo la BIOS/UEFI de la placa base. Al ser este el primer “software” que se inicia en el proceso de arranque de un ordenador, un “malware” podría ejecutarse antes de que se transfiera el control al sistema operativo y sus medidas de seguridad.

Según ha señalado la compañía en un comunicado remitido a Europa Press, los ciberdelincuentes podrían ejecutar con éxito el “software” malicioso que afecta a los controladores del “firmware” para la UEFI (Interfaz de Firmware Extensible Unificada, “firmware” sucesor de la clásica BIOS que controla el proceso de inicio en un PC y está integrado en la placa base) para proceder a estos ataques, ejecutados en forma de implante flash SPI como LoJax o “bootkit” ESPecter.

“Las amenazas UEFI pueden ser extremadamente sigilosas y peligrosas. Se ejecutan al principio del proceso de arranque, antes de transferir el control al sistema operativo, lo que significa que pueden eludir casi todas las medidas de seguridad”, ha comentado el investigador Marín Smolár, descubridor de estos errores en los equipos de la marca china.

ESET informó a Lenovo de todas estas vulnerabilidades en octubre de 2021, cuando dio a conocer un listado de los dispositivos afectados con más de cien modelos diferentes de portátiles y millones de usuarios en todo el mundo.

Determinó que las dos primeras, CVE-2021-3971 y CVE-2021-3972, afectaban a los controladores de “firmware” para UEFI, originalmente destinados a ser utilizados solo durante el proceso de fabricación de los dispositivos.

Sin embargo, como han apuntado desde ESET, los controladores se incluyeron por error también en las imágenes de los sistemas básicos de entrada y de salida (BIOS, por sus siglas en inglés) de producción sin ser desactivados correctamente.

La tercera vulnerabilidad, registrada como CVE-2021-3970 se refiere a un fallo de corrupción de memoria SMM dentro de la función handler SW SMI, que permite la lectura y escritura arbitraria, la ejecución de código malicioso con privilegios de SMM y, potencialmente, el despliegue de un implante flash SPI.

Según ha informado Smolár, todas las amenazas UEFI descubiertas en los últimos años (como LoJax, MosaicRegressor, MoonBounce, ESPecter y FinSpy) “necesitaban saltarse o desactivar los mecanismos de seguridad de alguna manera para poder desplegarse y ejecutarse”.

Por ese motivo, ha aconsejado a todos los propietarios de portátiles Lenovo la revisión de la lista de dispositivos afectados compartida por el fabricante en su página web y actualizar su “firmware” a la última versión disponible sin las vulnerabilidades descubiertas.