La estafa del controlador de Lenovo plantea un riesgo de seguridad para los usuarios de 25 modelos de portátiles
Más de dos docenas de modelos de portátiles Lenovo son vulnerables a ataques maliciosos que bloquean el proceso de arranque seguro de UEFI y luego ejecutan aplicaciones UEFI sin firmar o cargan cargadores de arranque que permanecen detrás de una puerta trasera, advirtieron los investigadores el miércoles.
Al mismo tiempo, investigadores de la empresa de seguridad de la información ESET vulnerabilidades expuestasfabricante de cuadernos actualizaciones de seguridad publicadas Para 25 modelos, incluidos ThinkPads, Yoga Slims e IdeaPads. Las vulnerabilidades que afectan el arranque seguro de UEFI pueden ser graves porque permiten a los atacantes instalar firmware malicioso que puede sobrevivir a varias reinstalaciones del sistema operativo.
No común, incluso raro
Abreviatura de Interfaz de firmware extensible unificada, UEFI es un software que conecta el firmware de una computadora a su sistema operativo. Debido a que es el primer código que se ejecuta cuando se inicia casi cualquier máquina moderna, es el primer eslabón de la cadena de seguridad. Dado que UEFI reside en el chip flash de la placa base, las infecciones son difíciles de detectar y eliminar. Las acciones típicas, como limpiar el disco duro y reinstalar el sistema operativo, no tendrán un efecto significativo porque la infección UEFI volverá a infectar la computadora más tarde.
ESET dijo que las vulnerabilidades, rastreadas como CVE-2022-3430, CVE-2022-3431 y CVE-2022-3432, “permiten deshabilitar UEFI Secure Boot o restaurar las bases de datos de Secure Boot predeterminadas de fábrica (incluido dbx): todo simplemente desde el sistema operativo. ” El arranque seguro utiliza bases de datos para habilitar y deshabilitar mecanismos. En particular, la base de datos DBX almacena hashes criptográficos de claves prohibidas. Deshabilitar o restaurar las bases de datos a sus valores predeterminados permite que un atacante elimine las restricciones que normalmente existirían.
“Cambiar cosas del firmware del sistema operativo no es común, incluso raro”, dijo en una entrevista un investigador especializado en seguridad de firmware, que habló bajo condición de anonimato. “La mayoría de la gente quiere decir que cambiar la configuración del firmware o del BIOS requiere acceso físico para romper la tecla DEL en el arranque para ingresar a la configuración y hacer cosas allí. Cuando puede hacer algunas cosas desde el sistema operativo, eso es un gran problema”.
La desactivación del arranque seguro de UEFI libera a los atacantes para que ejecuten aplicaciones UEFI maliciosas, lo que normalmente no es posible porque el arranque seguro requiere el cifrado de las aplicaciones UEFI. Restaurar DBX a la configuración de fábrica permite a los atacantes cargar cargadores de arranque vulnerables. En agosto, investigadores de la empresa de seguridad Eclypsium identificó tres controladores de software prominentes que se puede usar para eludir el arranque seguro cuando un atacante tiene privilegios elevados, es decir, administrador en Windows o root en Linux.
Las vulnerabilidades se pueden explotar modificando variables en NVRAM, la memoria RAM no volátil que almacena varias configuraciones de inicio. Las vulnerabilidades son causadas por el envío accidental de computadoras portátiles de Lenovo con controladores que estaban destinados a usarse solo durante el proceso de fabricación. Las vulnerabilidades son:
- CVE-2022-3430: una posible vulnerabilidad en el controlador de configuración de WMI en algunos dispositivos de consumo de portátiles Lenovo podría permitir que un atacante con privilegios elevados modifique la configuración de arranque seguro mediante la modificación de una variable NVRAM.
- CVE-2022-3431: una posible vulnerabilidad en un controlador utilizado durante el proceso de fabricación de algunos dispositivos de consumo portátiles de Lenovo que no se deshabilitó accidentalmente podría permitir que un atacante elevado modifique la configuración de arranque seguro modificando una variable NVRAM.
- CVE-2022-3432: una posible vulnerabilidad en un controlador utilizado durante el proceso de fabricación del Ideapad Y700-14ISK que no se deshabilitó accidentalmente podría permitir que un atacante con privilegios elevados modifique la configuración de arranque seguro mediante la modificación de una variable NVRAM.
Lenovo corrige solo los dos primeros. CVE-2022-3432 no está reparado porque la empresa ya no admite el Ideapad Y700-14ISK, un modelo de portátil al final de su vida útil que se ve afectado. Las personas que utilicen otros modelos vulnerables deben instalar los parches lo antes posible.
Especialista web. Evangelista de viajes. Alborotador. Fanático de la música amigable con los hipster. Experto en comida