Si tienes un portátil Lenovo, ojo con estas nuevas vulnerabilidades del firmware UEFI que podrían afectarte seriamante

Este 12 de julio, Lenovo lanzó algunas correcciones para inmovilizar tres fallos de seguridad en su firmware UEFI. Según investigadores de ESET, compañía eslovaca de software especializada en ciberseguridad que analiza vulnerabilidades de malware, se trata de un peligro que acecha a más de 70 modelos de productos del reconocido fabricante electrónico. Estos errores se encuentran relacionados con vulnerabilidades de desbordamiento de búfer.

A pesar de que, anteriormente, Lenovo había descrito dicha flaqueza como algo conveniente a una escalada de privilegios en los sistemas afectados, lo cierto es que se trata de un riesgo que permite a los atacantes secuestrar el flujo de ejecución del sistema operativo. En consecuencia, la firma tecnológica decidió tomar cartas en el asunto para así garantizar la seguridad de sus clientes.

Detectadas nuevas vulnerabilidades del firmware UEFI que puede afectar ordenadores Lenovo

Los expertos de ESET, tras realizar una ardua investigación, localizaron tres nuevas vulnerabilidades del firmware UEFI, es decir, el código del firmware de un chip en la placa base que brinda funciones adicionales a las del sistema BIOS, el cual es sustancial para que el equipo admita acciones antes de que se carga un sistema operativo. Dichos fallos, se registraron como ‘CVE-2022-1890’, ‘CVE-2022-1891’ y ‘CVE-2022-1892’.

Si bien, por medio de varias pruebas, los investigadores detectaron que estos errores han sido derivados por una validación insuficiente de una variable NVRAM, conocida como ‘DataSize’. La cual, se ubica en tres controladores diferentes que son: ReadyBootDxe, SystemLoadDefaultDxe y SystemBootManagerDxe. Como consecuencia, son errores que propician un desbordamiento de búfer que podría convertirse en un arma letal para lograr la ejecución del código.

En vista de que los tres errores descubiertos se relacionan con vulnerabilidades de desbordamiento de búfer, se definen como fallos de software que se generan cada vez que un programa no controla la cantidad de datos que se copian sobre un área de memoria reservada. Lo que significa que, el programa o proceso intenta contener más datos sobre un área de almacenamiento temporal de los que en realidad puede alojar. Así, constituye un fallo de programación.

Estas vulnerabilidades del firmware UEFI pueden explotarse a tal punto de lograr la ejecución de código arbitrario en las primeras fases del arranque de la plataforma. Dicha brecha de seguridad, abre paso para que los ciberdelincuentes tengan la posibilidad de secuestrar el flujo de ejecución del sistema operativo y deshabilitar importantes funciones de seguridad del ordenador. Lo peor, es que se califican como tres errores que pueden afectar a más de 70 modelos de ordenadores Lenovo, según notifica la empresa de ciberseguridad eslovaca.

#ESETresearch discovered and reported to the manufacturer three buffer overflow vulnerabilities in UEFI firmware of several #Lenovo Notebook devices, affecting more than 70 various models including several ThinkBook models. @smolar_m 1/6

— ESET research (@ESETresearch) July 13, 2022

Ante la disyuntiva, la firma con sede en Hong Kong, no dudo en pronunciarse al respecto. A través de un boletín de seguridad publicado en su sitio web oficial, dio a conocer las tres vulnerabilidades que perturban su UEFI, el cual es un firmware empleado en 100 modelos de portátiles, aproximadamente. Entre dichos modelos, señalan los siguientes: IdeaPad 3, Legion 5 Pro-16ACH6 H y Yoga Slim 9-14ITL05. Por lo tanto, en este momento, más de un millón de usuarios de Lenovo se encuentra trabajando con dispositivos vulnerables.

En el boletín de seguridad de Lenovo, se puede evidenciar que, estas fallas están presentes desde hace un buen tiempo. Razón por la que, son errores que han permitido inyectar malware en el firmware y ejecutar código arbitrario, de manera que, han afectado la seguridad de sus clientes directamente. En efecto, la compañía se justifica por la problemática generada, pues ha alegado que se trata de un tipo de amenaza casi imposible de detectar y eliminar; así que no hay mucho qué hacer para resolverlo.

En 2022, es la segunda vez que Lenovo ha tenido que abordar las vulnerabilidades de seguridad de UEFI. En abril, la empresa resolvió tres fallas (CVE-2021-3970, CVE-2021-3971 y CVE-2021-3972), que fueron objeto de abuso para ejecutar implantes de firmware. En el caso del error ‘CVE-2021-3970’, permitía que el atacante local introdujera y ejecutará código arbitrario con privilegios altamente elevados.

Por otro lado, tanto el ‘CVE-2021-3971’ como el ‘CVE-2021-3972’ son vulnerabilidades que exponen los equipos a un sinfín de riesgos. Respecto al ‘CVE-2021-3971’, el riesgo más trascendental, es que ofrecía la opción de cambiar la región de protección del firmware y, en torno al ‘CVE-2021-3972’, ayudaba a modificar la configuración de arranque seguro.

¿Podría afectar a ordenadores de otras marcas?

En base a la investigación liderada por ESET, se puede apuntar que este tipo de amenaza también podría afectar a ordenadores de otras marcas, ya que el firmware UEFI es ampliamente utilizado en equipos que operan bajo el sistema operativo Microsoft Windows, así que, Lenovo no es el único fabricante que puede sufrir este tipo de riesgos y los demás no están exceptos de tener que luchar en contra de dicha brecha de seguridad.

Cabe destacar que, las amenazas dirigidas a UEFI son extremadamente sigilosas y peligrosas, por naturaleza. El principal motivo de esto, reside en que dichos ataques se ejecutan en el proceso de arranque temprano, es decir, antes de que el sistema operativo pueda tomar el control del equipo. Por ende, son errores capaces de eludir las diferentes medidas de seguridad implementadas por las marcas de ordenadores, al igual que, esquivar las técnicas de mitigación más potentes que pueden evitar que se ejecuten sus ‘payloads’.

Por su parte, el peligro para otras marcas de ordenadores también radica en que la gran mayoría de los productos y soluciones de seguridad que operan a nivel de sistema operativo, resultan inútiles contra estas vulnerabilidades. Dado que, la ejecución de la carga útil es casi imposible de detectar, tal y como le sucedió a Lenovo. Mientras tanto, el recurso más idóneo, consiste en que los usuarios opten por actualizar su firmware a las últimas versiones disponibles y de ese modo, será posible disminuir el riesgo que todavía sigue latente.