Más de 100 modelos de computadoras portátiles Lenovo están siendo afectadas por tres vulnerabilidades que afectan a drivers de firmware para UEFI y memoria SMM, descubiertas por la empresa de seguridad informática ESET.
Según explica la documentación sobre la falla de seguridad, las dos primeras vulnerabilidades detectadas -CVE-2021-3971, CVE-2021-3972- son parte de un viejo driver usado en el proceso de manufactura de los computadores y que fue incluido equívocamente en la BIOS, dando la posibilidad que un atacante pueda tener elevador privilegios sobre el firmware y su protección.
En concreto, un malintencionado con el conocimiento suficiente, puede activar estos drivers de firmware afectados para deshabilitar directamente las protecciones en la memoria flash SPI o la función Secure Boot de UEFI (arranque seguro de UEFI). Posicionándola como una vulnerabilidad extremadamente sigilosa y peligrosa.
Por su parte, la tercera falla descubierta (CVE-2021-3970), es una de corrupción de memoria SMM dentro de la función handler SW SMI. Esta permite la lectura/escritura arbitraria desde/hacia SMRAM, lo que puede conducir a la ejecución de código malicioso con privilegios de SMM y, potencialmente, al despliegue de un implante flash SPI.
Todos estos problemas fueron alertados por ESET el pasado 11 de octubre de 2021 a Lenovo. En total, la lista de dispositivos afectados comprende a más de cien modelos de computadoras diferentes con millones de usuarios en todo el mundo, desde modelos asequibles como Ideapad-3 hasta modelos más avanzados como Legion 5 Pro-16ACH6H o Yoga Slim 9-14ITL05. La lista completa de modelos afectados con soporte activo fue publicada en un comunicado de Lenovo.
Además de los modelos detallados en el comunicado, varios otros dispositivos que informaron desde ESET a Lenovo también se vieron afectados, pero no serán parchados debido a que no recibirán más soporte por ser equipos antiguos.
