Atualizações do BIOS da Lenovo corrigem bugs de segurança em centenas de modelos

Atualizações do BIOS da Lenovo corrigem bugs de segurança em centenas de modelos. Empresa emitiu um aviso de segurança para alertar sobre várias vulnerabilidades de alta gravidade.

A fabricante chinesa de computadores Lenovo emitiu um aviso de segurança para alertar sobre várias vulnerabilidades de alta gravidade do BIOS que afetam centenas de dispositivos nos vários modelos (Desktop, All in One, IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation, ThinkSystem).

A exploração das falhas pode levar à divulgação de informações, escalonamento de privilégios, negação de serviço e, sob certas circunstâncias, execução arbitrária de código.

As vulnerabilidades no aviso de segurança da Lenovo são as seguintes:

  • CVE-2021-28216 : Corrigida falha de ponteiro no BIOS TianoCore EDK II (implementação de referência de UEFI), permitindo que um invasor eleve privilégios e execute código arbitrário.
  • CVE-2022-40134 : Falha de vazamento de informações no SMI Set Bios Password SMI Handler, permitindo que um invasor leia a memória SMM.
  • CVE-2022-40135 : Vulnerabilidade de vazamento de informações no Smart USB Protection SMI Handler, permitindo que um invasor leia a memória SMM.
  • CVE-2022-40136 : Falha de vazamento de informações no SMI Handler usado para definir as configurações da plataforma sobre WMI, permitindo que um invasor leia a memória SMM.
  • CVE-2022-40137 : Estouro de buffer no WMI SMI Handler, permitindo que um invasor execute código arbitrário.
  • Aprimoramentos de segurança do American Megatrends (sem CVEs).

O SMM (Ring -2) faz parte do firmware UEFI que fornece funções em todo o sistema, como controle de hardware de baixo nível e gerenciamento de energia.

O acesso ao SMM pode ser estendido ao sistema operacional e RAM e recursos de armazenamento; é por isso que a AMD e a Intel desenvolveram mecanismos de isolamento SMM para manter os dados do usuário protegidos contra ameaças de baixo nível.

Resumo 

Em seu site a Lenovo diz que, quando possível, a Lenovo consolida várias correções e aprimoramentos de segurança do BIOS no menor número de atualizações possível. A lista de vulnerabilidades a seguir foi relatada por fornecedores. Nem todos os produtos listados na seção Impacto do Produto do comunicado da Lenovo foram afetados por cada CVE resumido abaixo.

  • A AMI lançou aprimoramentos de segurança para o AMI BIOS. Nenhum CVE disponível.
  • Tianocore relatou uma vulnerabilidade de ponteiro fixo no BIOS TianoCore EDK II que pode permitir que um invasor com acesso local e privilégios elevados execute código arbitrário. TianoCore EDK II é o código UEFI (BIOS) de código aberto fundamental usado em toda a indústria em todos os computadores modernos. CVE-2021-28216
  • Um estouro de buffer no WMI SMI Handler em alguns modelos Lenovo pode permitir que um invasor com acesso local e privilégios elevados execute código arbitrário. CVE-2022-40137
  • Uma vulnerabilidade de vazamento de informações no SMI Set BIOS Password SMI Handler em alguns modelos Lenovo pode permitir que um invasor com acesso local e privilégios elevados leia a memória SMM. CVE-2022-40134
  • Uma vulnerabilidade de vazamento de informações no Smart USB Protection SMI Handler em alguns modelos Lenovo pode permitir que um invasor com acesso local e privilégios elevados leia a memória SMM. CVE-2022-40135
  • Uma vulnerabilidade de vazamento de informações no SMI Handler usado para definir as configurações da plataforma sobre WMI em alguns modelos Lenovo pode permitir que um invasor com acesso local e privilégios elevados leia a memória SMM. CVE-2022-40136

Remediação

A Lenovo corrigiu os problemas nas atualizações mais recentes do BIOS para produtos afetados. A maioria dos patches lançados está disponível desde o lançamento em julho e agosto de 2022.

Patches adicionais são esperados até o final de setembro e outubro, enquanto uma pequena lista de modelos receberá as atualizações no próximo ano.

Uma lista completa dos modelos de computador afetados e a versão do firmware do BIOS que aborda cada vulnerabilidade está incluída no boletim de segurança , com links para o portal de download de cada modelo.

Como alternativa, os proprietários de computadores Lenovo podem navegar até o portal ” Drivers & Software “, pesquisar seu produto pelo nome, selecionar “Manual Update” e baixar a versão mais recente do firmware do BIOS disponível.

Fonte: BleepingComputer & Lenovo

Veja também:

 
Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Atualizações do BIOS da Lenovo corrigem bugs de segurança em centenas de modelos – Neotel Segurança Digital

Deixe sua opinião!