A Lenovo lançou atualizações de segurança para mais de 100 modelos de laptops que abordam vulnerabilidades críticas de UEFI. Ao explorá-los, os invasores têm a capacidade de modificar o firmware adicionando código malicioso que é muito difícil de detectar e remover.
Três vulnerabilidades foram identificadas em laptops Lenovo que comprometem a segurança de mais de um milhão de dispositivos. As vulnerabilidades foram identificadas no nível UEFI (Unified Extensible Firmware Interface), um componente de software que conecta o firmware ao sistema operacional. Ele é iniciado imediatamente após ligar quase qualquer computador moderno e é o primeiro elo de segurança. O UEFI é gravado na memória flash da placa-mãe, o que significa que o código malicioso incorporado é muito difícil de detectar e remover.
Duas vulnerabilidades, numeradas CVE-2021-3971 e CVE-2021-3972, foram descobertas pela ESET em drivers de firmware UEFI usados apenas na fase de produção dos computadores. Os engenheiros da Lenovo os incluíram na versão do BIOS sem a ativação adequada. Usando as vulnerabilidades desses drivers, invasores em potencial têm a capacidade de modificar o firmware e adicionar código malicioso a ele. Posteriormente, os especialistas da ESET descobriram uma terceira vulnerabilidade, que recebeu o número CVE-2021-3970.
A exploração de todas as três vulnerabilidades requer acesso local à máquina da vítima com privilégios ilimitados, portanto, na prática, é uma tarefa demorada. No entanto, o nível de sua ameaça é crítico, pois a infecção abre oportunidades para o invasor que não estão disponíveis para os malwares mais comuns. A lista de modelos vulneráveis está disponível no site do fabricante.