Lenovo dejó puertas traseras en millones de portátiles
Más de cien modelos de consumo contenían puertas traseras para implementar malware particularmente persistente directamente en el firmware UEFI.
Este es un descuido bastante malo. Los investigadores de seguridad de Eset acaban de revelar la presencia de puertas traseras en más de cien modelos de computadoras portátiles de consumo de Lenovo. Entre las gamas afectadas se encuentran IdeaPad, Legion, Slim y Yoga. En total, la cantidad de dispositivos afectados debe ser de millones. Obviamente, no fue un truco sucio. Implementadas en forma de controladores UEFI, las puertas traseras se denominaron "SecureBackDoor", "SecureBackDoorPeim", "ChgBootDxeHook" o "ChgBootSmm", que se explica por sí mismo y, por lo tanto, no es muy sigiloso.
Según el aviso de seguridad de Lenovo, estas puertas traseras se utilizaron durante el proceso de fabricación de portátiles por razones prácticas. Desafortunadamente, Lenovo olvidó eliminarlos. Los investigadores de Eset han demostrado que permiten dos tipos de acciones. Con “SecureBackDoor” y “SecureBackDoorPeim”, fue posible desactivar las protecciones contra escritura de la memoria Flash SPI en la que se almacena el UEFI y, en consecuencia, modificar el código (CVE-2021-3971). Con "ChgBootDxeHook" y "ChgBootSmm", un pirata informático podría eludir el arranque seguro UEFI, un mecanismo que ayuda a garantizar la autenticidad y la integridad del firmware de arranque (CVE-2021-3972).
Ver también vídeo:
)
Al analizar estos controladores, los investigadores descubrieron una tercera falla (CVE-2021-3970) que permitía el acceso a la memoria SMRAM y la modificación del código ejecutado bajo el "Modo de administración del sistema". Este es un modo muy seguro para, por ejemplo, administrar funciones de energía avanzadas, realizar funciones OEM patentadas o realizar actualizaciones de firmware. La falla en cuestión permitía, si era necesario, instalar malware directamente en el SPI Flash.
Para ser explotadas, todas estas vulnerabilidades requieren tener el privilegio de administrador, que no es nada. Pero el esfuerzo merece la pena, porque “infectar la UEFI es un poco como el Santo Grial para hackear ordenadores” , especifica Benoît Grunemwald, experto en ciberseguridad de Eset. El malware anidado en UEFI es particularmente persistente. Se mantiene aunque reinstalemos el sistema operativo o cambiemos el disco duro.
Este tipo de malware se usa principalmente para ataques dirigidos. En 2018, los investigadores de Eset fueron los primeros en detectar una copia del malware UEFI. Llamado LoJax , fue obra del grupo hacker ruso APT28.
Parches disponibles desde noviembre pasado
Con respecto a las fallas encontradas en las computadoras portátiles Lenovo, nadie sabe si realmente fueron utilizadas por piratas informáticos. Pero como no fueron muy difíciles de encontrar, es probable que otros hackers supieran de su existencia. Alertado en octubre de 2021 por Eset, Lenovo confirmó el problema al mes siguiente. Ahora hay un parche disponible para todos los modelos que aún son compatibles. Para protegerse contra la falla CVE-2021-3972, también es posible cifrar el disco usando el TPM, lo que "haría que los datos fueran inaccesibles si cambia la configuración de UEFI Secure Boot" , como afirma la publicación de blog de Eset.
Fuente : Eset
Si quieres conocer otros artículos parecidos a Lenovo dejó puertas traseras en millones de portátiles puedes visitar la categoría Seguridad.
Deja una respuesta