Os investigadores da ESET, empresa global líder em soluções de cibersegurança, descobriram e analisaram três vulnerabilidades que estão a afectar vários modelos de portáteis Lenovo. A exploração destas vulnerabilidades permite a cibercriminosos implementar e executar malware ao nível do firmware UEFI na forma de implantes flash SPI como LoJax ou implantes ESP como ESPecter, descoberto recentemente pela ESET.
A ESET reportou todas as descobertas à Lenovo em outubro de 2021
No total, a lista de dispositivos afetados contém mais de 100 modelos de portáteis diferentes, com milhões de utilizadores em todo o mundo.
De acordo com a investigação da ESET, as ameaças ao nível do UEFI podem ser extremamente furtivas e perigosas. Estas ameaças são executadas nos primeiros estágios do processo de boot, antes de transferirem controlo para o sistema operativo. Na prática, isto significa que elas podem contornar quase todas as medidas de segurança e mitigação superiores que contribuem para prevenir ataques.
ESET detectou três vulnerabilidades
A ESET detectou três vulnerabilidades diferentes, designadas CVE-2021-3970, CVE-2021-3971, CVE-2021-3972. As duas primeiras tratam-se essencialmente de backdoors “seguras” integradas no firmware UEFI que podem ser activadas para desligar as protecções flash SPI ou a funcionalidade UEFI Secure Boot a partir de um processo privilegiado de modo de utilizador durante o tempo de funcionamento do sistema operativo.
Já a terceira vulnerabilidade permite a leitura/escrita arbitrária de/para SMRAM, que pode levar à execução de código malicioso com privilégios SMM e potencialmente levar à implementação de um implante flash SPI.
O boot e serviços UEFI oferecem as funções e estruturas de dados básicas necessárias para os drivers e aplicações fazerem o seu trabalho, como a instalação de protocolos, localização de protocolos existentes, alocação de memória, manipulação variável do UEFI, entre outros. Por sua parte, o SMM é um modo de execução altamente privilegiado dos processadores. O seu código está escrito no contexto do firmware do sistema e é tipicamente usando para várias funções, incluindo gestão energética avançada, execução de código proprietário OEM, e actualizações de firmware seguras.
Os investigadores da ESET recomendam fortemente que todos os utilizadores de portáteis Lenovo verifiquem a lista de dispositivos afectados e actualizem o seu firmware de acordo com as instruções do fabricante.
Para mais informação técnica, consulte o artigo completo no WeLiveSecurity.
