Os portáteis da Lenovo são reconhecidos pela sua durabilidade e segurança, mas a ESET descobriu três vulnerabilidades que permitem a cibercriminosos executar malware ao nível do firmware UEFI na forma de implantes flash SPI como LoJax ou implantes ESP como ESPecter, descoberto recentemente pela ESET.
A ESET detetou três vulnerabilidades diferentes, designadas CVE-2021-3970, CVE-2021-3971, CVE-2021-3972. As duas primeiras tratam-se essencialmente de backdoors “seguras” integradas no firmware UEFI que podem ser ativadas para desligar as proteções flash SPI ou a funcionalidade UEFI Secure Boot a partir de um processo privilegiado de modo de utilizador durante o tempo de funcionamento do sistema operativo. Já a terceira vulnerabilidade permite a leitura/escrita arbitrária de/para SMRAM, que pode levar à execução de código malicioso com privilégios SMM e potencialmente levar à implementação de um implante flash SPI.
O boot e serviços UEFI oferecem as funções e estruturas de dados básicas necessárias para os drivers e aplicações fazerem o seu trabalho, como a instalação de protocolos, localização de protocolos existentes, alocação de memória, manipulação variável do UEFI, entre outros. Por sua parte, o SMM é um modo de execução altamente privilegiado dos processadores. O seu código está escrito no contexto do firmware do sistema e é tipicamente usando para várias funções, incluindo gestão energética avançada, execução de código proprietário OEM, e atualizações de firmware seguras.
Estas vulnerabilidades foram reportadas à Lenovo em Outubro de 2021 e podem afetar mais de 100 modelos em utilização por milhões de utilizadores em todo o mundo. A Lenovo já agiu, claro, sendo recomendável que todos os utilizadores de portáteis Lenovo verifiquem se o seu modelo se encontra entre os afetados e atualize o firmware conforme as instruções do fabricante.
