0
0
Mais de 100 diferentes computadores portáteis de consumo da Lenovo, usados por milhões de pessoas em todo o mundo, contêm vulnerabilidades em nível de firmware que dão aos atacantes uma maneira de abandonar malware que pode persistir em um sistema mesmo após uma substituição do disco rígido ou a reinstalação do sistema operacional.
Duas das vulnerabilidades (CVE-2021-3971 e CVE-2021-3972) envolvem drivers UEFI (Unified Extensible Firmware Interface, interface extensível) que foram destinados a ser usados apenas durante o processo de fabricação, mas inadvertidamente acabaram por fazer parte da imagem do BIOS que foi enviada com os computadores. O terceiro (CVE-2021-3970) é um bug de corrupção de memória em uma função para detectar e registrar erros do sistema.
A ESET descobriu as vulnerabilidades e as reportou à Lenovo em outubro de 2021. A fabricante de hardware lançou esta semana atualizações de BIOS abordando as falhas em todos os modelos impactados. No entanto, os usuários terão que instalar as atualizações manualmente, a menos que tenham as ferramentas automatizadas da Lenovo para ajudar na atualização.
O firmware UEFI garante a segurança e a integridade do sistema quando um computador está inicializando. O firmware contém informações que o computador confia implicitamente e usa enquanto ele se inicializado. Assim, qualquer código malicioso incorporado no firmware seria executado antes mesmo de o computador inicial e antes que as ferramentas de segurança tivessem a chance de inspecionar o sistema em busca de ameaças e vulnerabilidades potenciais.
Nos últimos anos, surgiram algumas ferramentas de malware que foram projetadas para modificar o firmware UEFI para instalar malware durante o processo de inicialização supostamente seguro. Um exemplo é o LoJax, um rootkit de nível de firmware altamente persistente que o ESET e outros observaram sendo implantado como parte de uma campanha mais ampla de malware pelo grupo Sednit da Rússia. Outro exemplo é moonbounce, um conta-gotas de malware nível de firmware que pesquisadores da Kaspersky observaram recentemente sendo usado como parte de uma campanha de espionagem cibernética.
Martin Smolár, analista de malware da ESET, diz que os dois drivers da Lenovo que foram erroneamente incluídos na produção de BIOS sem serem devidamente desativados dão aos atacantes uma maneira de implantar malware semelhante em dispositivos de consumo vulneráveis da Lenovo.
“A exploração dessas vulnerabilidades permitiria que os invasores desabilizam diretamente proteções cruciais de segurança do sistema”, diz Smolár. Os invasores com acesso privilegiado em um sistema vulnerável podem simplesmente ativar os drivers de firmware antigos e usá-los para desativar proteções como bits de registro de controle de BIOS, registros de intervalo protegido e Inicialização Segura UEFI que impedem usuários privilegiados de fazer alterações no firmware do sistema. Como resultado, a exploração dessas vulnerabilidades permitiria que os invasores piscassem ou modificassem o firmware e executasse códigos maliciosos, diz ele.
Enquanto isso, o CVE-2021-3970, a terceira vulnerabilidade que os pesquisadores do ESET descobriram, permite leituras e gravações arbitrárias de e para a RAM de Gerenciamento de Sistemas (RAM) — ou memória que armazena código com privilégios de gerenciamento do sistema. Isso dá aos atacantes a oportunidade de executar códigos com privilégios de gerenciamento de sistemas em sistemas vulneráveis, disse a ESET.
Em um comunicado enviado por e-mail, a Lenovo agradeceu à ESET por alertar a empresa sobre as vulnerabilidades. “Os drivers foram corrigidos e os clientes que atualizam conforme descrito no aviso da Lenovo estão protegidos”, diz o comunicado. “A Lenovo saúda a colaboração com pesquisadores do BIOS à medida que aumentamos nossos investimentos em segurança de BIOS para garantir que nossos produtos continuem a atender ou exceder os padrões do setor.”
A assessoria da empresa descreveu as falhas como sendo de média gravidade e permitindo a escalada de privilégios para os atacantes que as exploravam. A empresa disse que o CVE-2021-3970 resultou de uma validação insuficiente em alguns modelos da Lenovo. A Lenovo atribuiu as outras duas vulnerabilidades à sua falha em desativar e remover motoristas que eram usados em processos de fabricação mais antigos.
O aviso também inclui instruções sobre onde os usuários com dispositivos impactados podem encontrar a atualização adequada do BIOS e como devem instalá-la.
FONTE: DARK READING