Los piratas informáticos pueden infectar >100 modelos de Lenovo con malware no eliminable. ¿Estás parcheado?

Los piratas informáticos pueden infectar >100 modelos de Lenovo con malware no eliminable.  ¿Estás parcheado?”†<figcaption class=

imágenes falsas

Lenovo ha lanzado actualizaciones de seguridad para más de 100 modelos de portátiles para solucionar vulnerabilidades críticas que permiten a los piratas informáticos avanzados instalar de forma encubierta firmware malicioso que es casi imposible de eliminar o, en algunos casos, detectar.

Tres vulnerabilidades que afectan a más de 1 millón de computadoras portátiles podrían dar a los piratas informáticos la capacidad de modificar la UEFI de una computadora. Abreviatura de Interfaz de firmware extensible unificada, UEFI es el software que conecta el firmware del dispositivo de una computadora al sistema operativo. Como la primera pieza de software que se ejecuta cuando prácticamente todas las máquinas modernas están encendidas, es el primer eslabón de la cadena de seguridad. Debido a que el UEFI está contenido en un chip flash en la placa base, las infecciones son difíciles de detectar y aún más difíciles de eliminar.

Oh, no

Dos de las vulnerabilidades, rastreadas como CVE-2021-3971 y CVE-2021-3972, residen en los controladores de firmware UEFI destinados solo para su uso durante el proceso de fabricación de las computadoras portátiles de consumo de Lenovo. Los ingenieros de Lenovo incluyeron accidentalmente los controladores en las imágenes del BIOS de producción sin desactivarlos correctamente. Los piratas informáticos pueden explotar estos controladores defectuosos para deshabilitar las protecciones, incluido el arranque seguro UEFI, los bits de registro de control del BIOS y el registro de rango protegido, que se integran en la interfaz periférica en serie (SPI) y están diseñados para evitar cambios no autorizados en el firmware en ejecución.

Después de descubrir y analizar las vulnerabilidades, los investigadores de la empresa de seguridad ESET encontraron una tercera vulnerabilidad, CVE-2021-3970. Permite a los piratas informáticos ejecutar firmware malicioso cuando una máquina se pone en modo de administración del sistema, un modo operativo de privilegios elevados que suelen utilizar los fabricantes de hardware para la administración del sistema de bajo nivel.

“Según la descripción, todos esos son ataques bastante ‘oh no’ para atacantes suficientemente avanzados,” Trammel Hudson, un investigador de seguridad que se especializa en hacks de firmware, le dijo a Ars. “Omitir los permisos de flash SPI es bastante malo.”

Dijo que la gravedad se puede mitigar a través de medidas de seguridad como BootGuard, que está diseñado para evitar que los usuarios no autorizados utilicen firmware malicioso durante el proceso de arranque. Por otro lado, en el pasado, los investigadores descubrieron vulnerabilidades críticas que socavan BootGuard. Contienen un trío de fallas que Hudson descubrió en 2020 que impedían que la protección funcionara cuando una computadora se despertaba del modo de suspensión.

Arrastrándose hacia la corriente principal

Si bien aún son raros, los llamados implantes SPI se están volviendo más comunes. Una de las mayores amenazas para Internet, una pieza de malware conocida como Trickbot, comenzó a incorporar un controlador en su base de código en 2020 que permitiría a las personas escribir firmware en prácticamente cualquier dispositivo. Las únicas otras dos instancias documentadas de firmware UEFI malicioso que se usa en la naturaleza son LoJax, que fue escrito por el grupo de piratas informáticos del estado ruso conocido por varios nombres, incluidos Sednit, Fancy Bear o APT 28. La segunda instancia fue UEFI: se descubrió malware. por la firma de seguridad Kaspersky en las computadoras de figuras diplomáticas en Asia.

Las tres vulnerabilidades de Lenovo descubiertas por ESET requieren acceso local, lo que significa que el atacante ya debe tener el control de la máquina vulnerable con privilegios sin restricciones. El listón para ese tipo de acceso es alto y probablemente requiera que una o más vulnerabilidades críticas se exploten en otro lugar, lo que ya pone al usuario en un riesgo significativo.

Aun así, las vulnerabilidades son graves porque pueden infectar portátiles vulnerables con malware que va mucho más allá de lo que normalmente es posible con malware más convencional. Lenovo tiene una lista de más de 100 modelos afectados aquí.

Leave a Comment