A Lenovo corrigiu duas vulnerabilidades perigosas que podem ser usadas por invasores para desabilitar o UEFI Secure Boot e afetar diferentes modelos de laptops ThinkBook, IdeaPad e Yoga. O UEFI Secure Boot é uma ferramenta de verificação que impede a execução de códigos não assinados e maliciosos enquanto o computador é inicializado.
Fonte da imagem: Bleep Computer
As consequências da execução de código malicioso antes da inicialização do sistema operacional podem ser muito graves, pois nesse caso é possível contornar todas as proteções e lançar software malicioso que não pode ser eliminado mesmo que o sistema operacional seja reinstalado. O problema não é devido a bugs no código, mas devido à Lenovo acidentalmente disponibilizar publicamente os drivers destinados ao uso em desenvolvimento.
A presença desses drivers em vários produtos seriais da Lenovo foi descoberta por especialistas da ESET. Eles descobriram que, para explorar vulnerabilidades, basta que os invasores criem variáveis NVRAM especiais. O especialista em segurança da informação Nikolaj Schlej em sua conta no Twitter disse com mais detalhes por que os desenvolvedores de firmware UEFI não devem usar NVRAM.
Quanto às vulnerabilidades em si, estamos falando de CVE-2022-3430 e CVE-2022-3431. O primeiro afeta o driver de configuração WMI em alguns laptops Lenovo e permite que um invasor elevado altere as configurações de inicialização segura alterando a variável NVRAM. A segunda vulnerabilidade diz respeito a um driver que não deveria entrar em dispositivos seriais, e sua operação, como no primeiro caso, permite alterar as configurações de inicialização segura via NVRAM. Há também uma terceira vulnerabilidade semelhante, CVE-2022-3432, afetando apenas laptops IdeaPad Y700-14ISK. A Lenovo não irá corrigi-lo, pois o suporte para este modelo terminou.
Para obter uma lista completa de laptops Lenovo afetados por esse problema, visite a página de suporte da empresa. As atualizações de software podem ser encontradas no site da Lenovo ou usando a ferramenta de pesquisa de atualização nos dispositivos do usuário.