Milhões de laptops Lenovo contêm vulnerabilidades em nível de firmware

03/05/2022 mindsecblog Notícias 0

Milhões de laptops Lenovo contêm vulnerabilidades em nível de firmware. Três falhas permitem carregar malware que se mantém ativo mesmo após troca do disco rígido.

As três falhas presentes em laptops da marca podem dar aos invasores uma maneira de carregar malware altamente persistente capaz de escapar dos métodos para removê-lo, diz o fornecedor de segurança.

Mais de 100 laptops Lenovo diferentes, usados por milhões de pessoas em todo o mundo, contêm vulnerabilidades no nível de firmware que dão aos invasores uma maneira de carregar malware que pode persistir em um sistema mesmo após a substituição do disco rígido ou a reinstalação do sistema operacional.

Duas das vulnerabilidades (CVE-2021-3971 e CVE-2021-3972) envolvem drivers UEFI (Unified Extensible Firmware Interface) que foram feitos para uso apenas durante o processo de fabricação, mas acabaram inadvertidamente fazendo parte da imagem do BIOS fornecida com o computadores. O terceiro (CVE-2021-3970) é um bug de corrupção de memória em uma função para detectar e registrar erros do sistema.

A ESET descobriu as vulnerabilidades e as relatou à Lenovo em outubro de 2021. O fabricante de hardware lançou agora, no final de abril, atualizações do BIOS abordando as falhas em todos os modelos afetados. No entanto, os usuários terão que instalar as atualizações manualmente, a menos que tenham as ferramentas automatizadas da Lenovo para auxiliar na atualização.

O firmware UEFI garante a segurança e a integridade do sistema quando um computador está inicializando. O firmware contém informações nas quais o computador confia e usa implicitamente durante a inicialização. Assim, qualquer código malicioso embutido no firmware seria executado antes mesmo do computador inicializar e antes que as ferramentas de segurança tivessem a chance de inspecionar o sistema em busca de possíveis ameaças e vulnerabilidades.

Nos últimos anos, surgiram várias ferramentas de malware projetadas para modificar o firmware UEFI para instalar malware durante o processo de inicialização supostamente seguro. Um exemplo é o LoJax, um rootkit de nível de firmware altamente persistente que a ESET e outros observaram sendo implantado como parte de uma campanha de malware mais ampla pelo grupo Sednit da Rússia. Outro exemplo é o MoonBounce, um dropper de malware de nível de firmware que pesquisadores da Kaspersky observaram recentemente sendo usado como parte de uma campanha de espionagem cibernética .

Martin Smolár, analista de malware da ESET, diz que os dois drivers Lenovo que foram erroneamente incluídos no BIOS de produção sem serem devidamente desativados dão aos invasores uma maneira de implantar malware semelhante em dispositivos de consumidor Lenovo vulneráveis.

“A exploração dessas vulnerabilidades permitiria que os invasores desativem diretamente as proteções cruciais de segurança do sistema”, diz Smolár. Os invasores com acesso privilegiado em um sistema vulnerável podem simplesmente ativar os drivers de firmware antigos e usá-los para desativar proteções como bits de registro de controle do BIOS, registros de intervalo protegidos e inicialização segura UEFI que impedem que usuários privilegiados façam alterações no firmware do sistema. Como resultado, a exploração dessas vulnerabilidades permitiria que os invasores atualizassem ou modificassem o firmware e executassem códigos maliciosos, diz ele.

Enquanto isso, o CVE-2021-3970, a terceira vulnerabilidade que os pesquisadores da ESET descobriram, permite leituras e gravações arbitrárias de e para o System Management RAM (SM RAM) – ou memória que armazena código com privilégios de gerenciamento do sistema. Isso dá aos invasores a oportunidade de executar código com privilégios de gerenciamento de sistema em sistemas vulneráveis, disse a ESET.

Em um comunicado enviado por e-mail ao DarkReading, a Lenovo agradeceu à ESET por alertar a empresa sobre as vulnerabilidades. “Os drivers foram corrigidos e os clientes que atualizarem conforme descrito no aviso da Lenovo estão protegidos“, disse o comunicado. “A Lenovo agradece a colaboração com pesquisadores de BIOS à medida que aumentamos nossos investimentos em segurança de BIOS para garantir que nossos produtos continuem atendendo ou superando os padrões da indústria.”

O comunicado da empresa descreveu as falhas como sendo de gravidade média e permitindo o escalonamento de privilégios para os invasores que as exploraram. A empresa disse que o CVE-2021-3970 resultou de validação insuficiente em alguns modelos da Lenovo. A Lenovo atribuiu as outras duas vulnerabilidades à falha em desativar e remover drivers usados em processos de fabricação mais antigos.

O aviso também inclui instruções sobre onde os usuários com dispositivos afetados podem encontrar a atualização apropriada do BIOS e como devem instalá-la.

podem dar aos invasores uma maneira de eliminar malware altamente persistente capaz de escapar dos métodos para removê-lo, diz o fornecedor de segurança.

Fonte: DarkReading