Más de 100 modelos de computadoras portátiles Lenovo están siendo afectadas por tres vulnerabilidades que afectan a drivers de firmware para UEFI y memoria SMM, descubiertas por la empresa de seguridad informática ESET.
Según explica la documentación sobre la falla de seguridad, las dos primeras vulnerabilidades detectadas -CVE-2021-3971, CVE-2021-3972- son parte de un viejo driver usado en el proceso de manufactura de los computadores y que fue incluido equívocamente en la BIOS, dando la posibilidad que un atacante pueda tener elevador privilegios sobre el firmware y su protección.
En concreto, un malintencionado con el conocimiento suficiente, puede activar estos drivers de firmware afectados para deshabilitar directamente las protecciones en la memoria flash SPI o la función Secure Boot de UEFI (arranque seguro de UEFI). Posicionándola como una vulnerabilidad extremadamente sigilosa y peligrosa.
Por su parte, la tercera falla descubierta (CVE-2021-3970), es una de corrupción de memoria SMM dentro de la función handler SW SMI. Esta permite la lectura/escritura arbitraria desde/hacia SMRAM, lo que puede conducir a la ejecución de código malicioso con privilegios de SMM y, potencialmente, al despliegue de un implante flash SPI.
![Lenovo Cve Falla UEFI CVE-2021-3970](https://ohmygeek.net/wp-content/uploads/2022/04/Lenovo-CVE-2021-3970-1024x427.jpg)
Todos estos problemas fueron alertados por ESET el pasado 11 de octubre de 2021 a Lenovo. En total, la lista de dispositivos afectados comprende a más de cien modelos de computadoras diferentes con millones de usuarios en todo el mundo, desde modelos asequibles como Ideapad-3 hasta modelos más avanzados como Legion 5 Pro-16ACH6H o Yoga Slim 9-14ITL05. La lista completa de modelos afectados con soporte activo fue publicada en un comunicado de Lenovo.
Además de los modelos detallados en el comunicado, varios otros dispositivos que informaron desde ESET a Lenovo también se vieron afectados, pero no serán parchados debido a que no recibirán más soporte por ser equipos antiguos.