Vulnerabilidad en millones de dispositivos LENOVO

Martin Smolár de ESET antivirus ha reportado al fabricante chino LENOVO tres vulnerabilidades de la BIOS que afectan a mas de cien modelos distintos del fabricante, que corresponden a millones de dispositivos que podrían verse afectados, casi todos ordenadores portátiles. Estas vulnerabilidades han sido reportadas el pasado mes de octubre de forma privada al fabricante, para que solucione el grave problema de seguridad y privacidad en sus dispositivos.

Las vulnerabilidades han sido reconocidas por el fabricante y puede exponer dichos dispositivos a malware, que podría ser indetectable e incluso no corregible, al verse afectada la BIOS y firmware de dichos dispositivos. Dos de las vulnerabilidades de la BIOS de los dispositivos, afectan a controladores del firmware que fueron originalmente pensados para usarse en el proceso de fabricación de las computadoras de consumo de LENOVO, pero no se desactivaron correctamente antes de salir al mercado y pueden ser activadas por el posible atacante, permitiendo deshabilitar las protecciones de la memoria FLASH y de la función Secure Boot de la UEFI. La tercera vulnerabilidad afecta a la lectura y escritura desde y hacia la SMRAM, pudiendo ejecutar código malicioso y logrando una escalada de privilegios en el equipo. Las tres vulnerabilidades reportadas han sido catalogadas con estos números de identificación:

  • CVE-2021-3970
  • CVE-2021-3971
  • CVE-2021-3972

Por lo tanto, un posible atacante usando estas vulnerabilidades, podría ser capaz de instalar un malware en la propia UEFI de los equipos afectados, siendo casi imposible de eliminar e incluso de detectar por los programas antivirus y antimalware tradicionales. Este escenario sería posible pues el malware estaría alojado en una memoria FLASH que es la encargada de alojar el firmware UEFI de la BIOS, siendo un componente físico de la placa base de los ordenadores, totalmente independiente del sistema operativo y de los medios de almacenamiento como discos sólidos y similares. Por lo tanto, el contenido de ese firmware no es accesible ni manipulable por el sistema operativo una vez hemos levantado el sistema y permanece inalterable incluso después de un formateo de los discos y una reinstalación completa del sistema operativo. Compromete gravemente tanto la seguridad de los equipos, como la privacidad de los datos de los equipos y sistemas en los que puedan estar integrados esos equipos.

La mayoría de los dispositivos afectados están expuestos a las tres vulnerabilidades conocidas, aunque algunos modelos se ven afectados solo por una o dos de las vulnerabilidades conocidas. El fabricante por su parte, ha comenzado a lanzar actualizaciones del firmware de los dispositivos, pero al ser muchos modelos la previsión es que no se finalice hasta el próximo mes de mayo en tener dichas actualizaciones para todos los modelos afectados.

No sabemos aún si el fabricante sacará estas actualizaciones para los equipos que están fuera de soporte y tienen dichas vulnerabilidades, pues se lleva arrastrando por varios años. En cuanto a los modelos más populares afectados del fabricante podemos mencionar estos:

  • IdeaPad3
  • Flex 3
  • L340
  • Legion 5 / Legion 7 / Legion Y540
  • S14 / S145 / S540
  • Slim 7 / Slim 9
  • V14 / V15
  • Yoga Slim 7, …

Para comprobar si su equipo está entre los afectados o para solventar dichas vulnerabilidades, usted puede consultar este listado oficial, o bien introducir el modelo del mismo en el formulario de esta página de soporte de Lenovo y seguir las instrucciones que pueda aparecer.

El fabricante de software ESET ANTIVIRUS, recomienda utilizar una «solución de cifrado de disco completo compatible con TPM que permita que los datos de disco permanezcan inaccesibles si la configuración de arranque seguro UEFI cambia» como resultado de la inyección del malware, para intentar salvaguardar la privacidad de los datos.