Más de dos docenas de modelos de portátiles Lenovo son vulnerables a ataques maliciosos que desactivan el proceso de arranque seguro UEFI y luego ejecutan aplicaciones UEFI no firmadas o cargan cargadores de arranque que bloquean permanentemente un dispositivo, advirtieron los investigadores el miércoles.

Al mismo tiempo que investigadores de la firma de seguridad ESET reveló las vulnerabilidadesel fabricante de cuadernos actualizaciones de seguridad publicadas para 25 modelos, incluidos ThinkPads, Yoga Slims e IdeaPads. Las vulnerabilidades que afectan el arranque seguro de UEFI pueden ser graves porque permiten a los atacantes instalar firmware malicioso que sobrevive a varias reinstalaciones del sistema operativo.

No común, incluso raro

Abreviatura de Interfaz de firmware extensible unificada, UEFI es un software que conecta el firmware del dispositivo de una computadora con su sistema operativo. Como la primera pieza de código que se ejecuta cuando se enciende prácticamente cualquier máquina moderna, es el primer eslabón de la cadena de seguridad. Como UEFI reside en un chip flash en la placa base, las infecciones son difíciles de detectar y eliminar. Las medidas típicas, como limpiar el disco duro y reinstalar el sistema operativo, no tienen un impacto significativo porque la infección UEFI simplemente volverá a infectar la computadora más tarde.

ESET dijo que las vulnerabilidades, registradas como CVE-2022-3430, CVE-2022-3431 y CVE-2022-3432, “permiten deshabilitar UEFI Secure Boot o restaurar las bases de datos predeterminadas de fábrica de Secure Boot (incluido dbx): todo simplemente desde un sistema operativo. sistema.» El arranque seguro utiliza bases de datos para permitir y denegar mecanismos. La base de datos DBX en particular almacena hashes criptográficos de claves denegadas. Deshabilitar o restaurar los valores predeterminados en las bases de datos permite que un atacante elimine las restricciones que normalmente existirían.

“Cambiar cosas en el firmware del sistema operativo no es ni común ni raro”, dijo en una entrevista un investigador especializado en seguridad de firmware, que se negó a ser identificado. “La mayoría de la gente quiere decir que para cambiar la configuración en el firmware o el BIOS, debe tener acceso físico para presionar el botón DEL en el arranque para ingresar a la configuración y hacer las cosas allí. Cuando puedes hacer algunas cosas del sistema operativo, eso es un gran problema”.

Deshabilitar UEFI Secure Boot libera a los atacantes para ejecutar aplicaciones UEFI maliciosas, algo que normalmente no es posible porque el arranque seguro requiere que las aplicaciones UEFI estén firmadas criptográficamente. Mientras tanto, restaurar el DBX predeterminado de fábrica permite a los atacantes cargar cargadores de arranque vulnerables. En agosto, investigadores de la firma de seguridad Eclypsium identificó tres controladores de software prominentes que se puede usar para eludir el arranque seguro cuando un atacante tiene privilegios elevados, es decir, administrador en Windows o root en Linux.

Las vulnerabilidades se pueden explotar manipulando variables en NVRAM, la memoria RAM no volátil que almacena varias opciones de arranque. Las vulnerabilidades son el resultado de enviar por error portátiles Lenovo con controladores que se suponía que solo debían usarse durante el proceso de fabricación. Las vulnerabilidades son:

• CVE-2022-3430: una vulnerabilidad potencial en el controlador de configuración WMI en algunos dispositivos portátiles de Lenovo podría permitir que un atacante con privilegios elevados modifique la configuración de arranque seguro cambiando una variable NVRAM.
• CVE-2022-3431: una posible vulnerabilidad en un controlador utilizado durante el proceso de fabricación en algunos dispositivos portátiles Lenovo de consumo que no se ha desactivado por error podría permitir que un atacante con privilegios elevados modifique la configuración de arranque seguro cambiando una variable NVRAM.
• CVE-2022-3432: una vulnerabilidad potencial en un controlador utilizado durante el proceso de fabricación en el Ideapad Y700-14ISK que no se deshabilitó por error podría permitir que un atacante con privilegios elevados modifique la configuración de arranque seguro ajustando una variable NVRAM.

Lenovo solo está arreglando los dos primeros. CVE-2022-3432 no se parcheará porque la empresa ya no es compatible con Ideapad Y700-14ISK, el modelo de portátil afectado al final de su vida útil. Las personas que utilicen cualquiera de los otros modelos vulnerables deben instalar los parches lo antes posible.

Ir a debate…