ESET Research detectó vulnerabilidades en portátiles Lenovo, exponiendo a los usuarios al riesgo de instalación de malware UEFI como LoJax y ESPecter. En vista de lo ocurrido, la compañía recomienda a los consumidores de la marca revisar la lista de conectores afectados y actualizar el firmware de sus dispositivos.
Mediante un comunicado por investigadores de ESET Research, la compañía dio a conocer el descubrimiento de vulnerabilidades que afectan a varios modelos de portátiles Lenovo. La explotación de este virus informático permite a los ciberdelincuentes implementar y ejecutar con éxito el malware UEFI, ya sea en forma de implantes flash SPI como LoJax o implantes ESP como el último descubrimiento ESPecter.
“Las amenazas UEFI pueden ser extremadamente sigilosas y peligrosas. Se ejecutan temprano en el proceso de arranque, antes de transferir el control al sistema operativo, lo que significa que pueden eludir casi todas las medidas de seguridad y mitigaciones más altas en la pila que podrían evitar que se ejecuten las cargas útiles del sistema operativo”, informó Martin Smolár, Investigador de ESET. “Nuestro descubrimiento de estas puertas traseras UEFI llamadas “seguras” demuestra que, en algunos casos, la implementación de las amenazas UEFI puede no ser tan difícil como se esperaba, y la mayor cantidad de amenazas UEFI del mundo real descubiertas en los últimos años sugiere que los adversarios son conscientes de ello”.
Sin embargo, las dos primeras vulnerabilidades, CVE-2021-3970, CVE-2021-3971; pueden deshabilitar las protecciones flash SPI o la función de arranque seguro UEFI desde un proceso de modo de usuario privilegiado durante el tiempo de ejecución del sistema operativo. También, mientras que la compañía investigaba los archivos binarios de las puertas traseras "seguras”, encontraron una tercera vulnerabilidad, CVE-2021-3972; este malware permite la lectura/escritura arbitraria desde y hacia SMRAM, lo que puede conducir a la ejecución de código malicioso con privilegios de SMM.
La compañía recomienda encarecidamente a todos los propietarios de portátiles Lenovo que revisen la lista de dispositivos afectados y actualicen su firmware siguiendo las instrucciones del fabricante. Para aquellos que usan dispositivos de soporte de fin de desarrollo afectados por CVE-2021-3970, sin ninguna solución disponible: una forma de ayudarlo a protegerse contra la modificación no deseada, es usar un TPM-aware full- solución de cifrado de disco capaz de hacer que los datos del disco sean inaccesibles si cambia la configuración de arranque seguro del malware.
“Todas las amenazas UEFI del mundo real descubiertas en los últimos años; LoJax, MosaicRegressor, MoonBounce, ESPecter y FinSpy necesitaban eludir o desactivar los mecanismos de seguridad de alguna manera para implementarse y ejecutarse”, explica Smolár.
Fuentes: