I ricercatori di ESET hanno scoperto tre vulnerabilità nel firmware UEFI di oltre 100 notebook Lenovo. Due di esse sono state individuate in driver aggiunti durante la produzione dei dispositivi e inclusi inavvertitamente nelle immagini BIOS dei modelli in vendita. Gli utenti devono quindi installare i nuovi firmware seguendo le istruzioni di Lenovo.
Gravi bug nel firmware dei notebook
La vulnerabilità CVE-2021-3971, introdotta durante il processo produttivo dei notebook, consente ad un malintenzionato di disattivare i meccanismi di protezione contro la scrittura del chip SPI flash, in cui è memorizzato il firmware UEFI, creando una variabile NVRAM. Durante l’avvio, il firmware legge questa variabile e salta l’esecuzione del codice delle protezioni.
La vulnerabilità CVE-2021-3972, anch’essa introdotta durante il processo produttivo, consente invece di modificare le impostazioni del firmware UEFI, incluse quelle della funzionalità Secure Boot, semplicemente creando una variabile NVRAM. Dato che non viene effettuato più il controllo dell’integrità dei driver all’avvio è possibile eseguire qualsiasi malware, come il noto ESPecter.
Infine, la vulnerabilità CVE-2021-3970 permette di eseguire codice arbitrario nella SMRAM, la memoria protetta in cui sono conservati il codice e i dati utilizzati durante la modalità di esecuzione SMM (System Management Mode). La descrizione dettagliata delle tre vulnerabilità è disponibile sul sito di ESET.
Questi problemi sono piuttosto gravi in quanto consentono di aggirare quasi tutti i meccanismi di protezione durante la procedura di boot, ovvero prima del trasferimento del controllo al sistema operativo. La maggioranza delle soluzioni di sicurezza non possono rilevare eventuali attacchi, quindi è necessario installare subito le ultime versioni del firmware rilasciate da Lenovo.