A Lenovo publicou um aviso de segurança sobre vulnerabilidades que afetam sua Interface de Firmware Extensível Unificada (UEFI) carregada em pelo menos 100 de seus modelos de laptop.
Um total de três problemas de segurança foram descobertos, dois deles permitindo que um invasor desative a proteção do chip de memória flash SPI onde o firmware UEFI está armazenado e desative o recurso UEFI Secure Boot, que garante que o sistema seja carregado apenas no momento da inicialização código confiável pelo fabricante do equipamento original (OEM).
A exploração bem-sucedida de um terceiro, identificado como CVE-2021-3970 , pode permitir que um invasor local execute código arbitrário com privilégios elevados.
Todas as três vulnerabilidades foram descobertas por pesquisadores da ESET e reportadas com responsabilidade à Lenovo em outubro do ano passado. Eles afetam mais de 100 modelos de laptops de consumo, incluindo IdeaPad 3, Legion 5 Pro-16ACH6 H e Yoga Slim 9-14ITL05, o que provavelmente se traduz em milhões de usuários com dispositivos vulneráveis.
Drivers adicionados por engano
Pesquisadores da ESET alertam que as duas vulnerabilidades relacionadas à UEFI ( CVE-2021-3971 e CVE-2021-3972 ) podem ser usadas por invasores para “implantar e executar com sucesso implantes SPI flash ou ESP”.
Ambos os problemas de segurança relacionados à UEFI nos produtos Lenovo resultam da introdução na produção de dois drivers de firmware UEFI - apropriadamente chamados SecureBackDoor e SecureBackDoorPeim - que são usados apenas durante o processo de fabricação. Um comunicado de segurança da Lenovo descreve as vulnerabilidades assim:
- CVE-2021-3971: Uma vulnerabilidade potencial de um driver usado durante processos de fabricação mais antigos em alguns dispositivos Lenovo Notebooks que foi incluído por engano na imagem do BIOS pode permitir que um invasor com privilégios elevados modifique a região de proteção do firmware modificando uma variável NVRAM.
- CVE-2021-3972: Uma vulnerabilidade potencial de um driver usado durante o processo de fabricação em alguns dispositivos Lenovo Notebook de consumidor que não foi desativado por engano pode permitir que um invasor com privilégios elevados modifique a configuração de inicialização segura modificando uma variável NVRAM.
Uma lista completa de modelos de notebooks Lenovo afetados por cada uma das três vulnerabilidades está disponível aqui .
Os implantes UEFI são difíceis de detectar
A ESET forneceu uma análise técnica detalhada das três vulnerabilidades descobertas, observando que “as ameaças UEFI podem ser extremamente furtivas e perigosas” porque são executadas “no início do processo de inicialização, antes de transferir o controle para o sistema operacional”.
Isso significa que a maioria das soluções de mitigação e segurança ativas no nível do sistema operacional são inúteis e a execução de carga útil é quase inevitável e indetectável.
Detectá-los é possível, embora o processo exija técnicas mais avançadas, como verificações de integridade UEFI, análise do firmware em tempo real ou monitoramento do comportamento do firmware e do dispositivo em busca de atividades suspeitas.
A empresa de segurança cibernética descobriu dois desses implantes no passado, ambos usados em estado selvagem por agentes de ameaças:
- Lojax - encontrado em 2018 e usado por atores apoiados pelo estado russo rastreados como APT28, Fancy Bear, Sednit, Strontium e Sofacy
- ESPeter - identificado em 2021 e ativo desde 2012 (como um kit de inicialização para sistemas baseados em BIOS) para persistência na partição do sistema EFI (ESP)
No entanto, essa não é a única ameaça UEFI descoberta. A Kaspersky publicou relatórios no MosaicRegressor em 2020, no FinSpy em 2021 e no MoonBounce em janeiro deste ano.
Para se proteger contra ataques decorrentes das vulnerabilidades acima, a Lenovo recomenda que os usuários dos dispositivos afetados atualizem a versão do firmware do sistema para a mais recente disponível.
Isso pode ser feito instalando a atualização manualmente na página de suporte do dispositivo ou com a ajuda de utilitários para atualização de drivers do sistema fornecidos pela empresa.