Los piratas informáticos pueden infectar>> 100 modelos de Lenovo con malware no eliminable. ¿Estás atascado?

Lenovo ha lanzado actualizaciones de seguridad para más de 100 modelos de portátiles, lo que hace posible que los piratas informáticos avanzados instalen firmware indirectamente malicioso para solucionar vulnerabilidades.

Tres vulnerabilidades que afectan a más de 1 millón de computadoras portátiles brindan a los piratas informáticos la capacidad de cambiar la UEFI de una computadora. Corto Interfaz de firmware ampliable integrada, UEFI es un software que conecta el firmware del dispositivo de un dispositivo a su sistema operativo. Como el primer software que se ejecuta cuando se ejecuta cualquier máquina moderna, es el eslabón inicial en la cadena de seguridad. Debido a la UEFI en el chip flash de la placa base, es difícil detectar y eliminar las infecciones.

Oh, no

Las dos vulnerabilidades monitoreadas como CVE-2021-3971 y CVE-2021-3972 están presentes en los controladores de firmware UEFI que solo se pueden usar cuando se producen portátiles de consumo de Lenovo. Los ingenieros de Lenovo agregaron controladores sin darse cuenta sin bloquear correctamente las imágenes del BIOS. Los piratas informáticos pueden usar estos controladores no estándar para deshabilitar la seguridad, incluido el arranque seguro UEFI, los bits de registro de control del BIOS y los registros de límites protegidos. Interfaz externa en serie (SPI) y está diseñado para evitar cambios no autorizados en el firmware en el que se ejecuta.

Después de identificar y analizar las vulnerabilidades, los investigadores de la empresa de seguridad ESET identificaron una tercera vulnerabilidad, CVE-2021-3970. El modo de administración del sistema permite a los piratas informáticos ejecutar firmware malicioso cuando se coloca una máquina, un sistema operativo de alta gama comúnmente utilizado por los fabricantes de hardware para la administración del sistema de bajo nivel.

«Según la descripción, todos son ataques de tipo ‘oh no’ para atacantes avanzados,» Dijo Drummel Hudson, un investigador de seguridad que se especializa en hacks de firmware. «Evitar los permisos flash SPI es una lástima.»

Dijo que la gravedad podría reducirse con medidas de seguridad, como tarjetas de arranque diseñadas para evitar que personas no autorizadas ejecuten firmware malicioso durante el proceso de arranque. Nuevamente, los investigadores en el pasado identificaron vulnerabilidades importantes que impiden el arranque. Entre ellos un tres defectos Hudson descubrió en 2020 que impide que la seguridad funcione cuando una computadora sale del modo de suspensión.

Arrastrándose en la corriente principal

Aunque todavía son raros, los llamados implantes SPI son los más comunes. Una de las mayores amenazas para Internet es una pieza de malware llamada Trickbot, que comenzó a integrar un controlador en su base de código en 2020. Escribir el firmware en cualquier dispositivo. Solo otros dos casos documentados de firmware UEFI malicioso utilizado en la naturaleza LojaxFue escrito por un grupo de piratas informáticos del gobierno ruso conocido por muchos nombres, incluidos Sednit, Fancy Bear o APT 28. El segundo fenómeno es que el malware UEFI es esa empresa de seguridad. Kaspersky descubierto en las computadoras de diplomáticos en Asia.

Las tres vulnerabilidades de Lenovo detectadas por ESET requieren acceso local, lo que significa que el atacante ya debe tener control sobre el motor vulnerable con privilegios sin restricciones. El menú para ese tipo de acceso es alto y puede requerir el uso de una o más vulnerabilidades en otros lugares que ya podrían poner al usuario en un riesgo considerable.

Sin embargo, las vulnerabilidades son graves porque pueden infectar las computadoras portátiles vulnerables con malware, que generalmente va más allá de lo que normalmente es posible con el malware normal. Lenovo tiene una lista Aquí Más de 100 modelos se han visto afectados.