Los investigadores advirtieron el miércoles que más de dos docenas de modelos de computadoras portátiles Lenovo son vulnerables a ataques maliciosos que deshabilitan el proceso de arranque seguro UEFI y luego ejecutan aplicaciones UEFI sin firmar o montan permanentemente un cargador de arranque que compromete el dispositivo.
Al mismo tiempo, investigadores de la empresa de seguridad ESET dijeron Detección de debilidadesfabricante de portátiles Publicar actualizaciones de seguridad 25 modelos, incluidos ThinkPads, Yoga Slims e IdeaPads. Las vulnerabilidades que socavan el arranque seguro de UEFI pueden ser peligrosas porque permiten a los atacantes instalar firmware malicioso que sobrevive a varias reinstalaciones del sistema operativo.
No común, pero raro
Abreviatura de Interfaz de firmware extensible unificada, UEFI es el software que conecta el firmware de una computadora a su sistema operativo. Como la primera pieza de código que se ejecuta cuando enciende casi cualquier dispositivo moderno, es el primer eslabón de la cadena de seguridad. Debido a que UEFI está ubicado en un chip flash en la placa base, es difícil detectar y eliminar la infección. Las acciones típicas, como limpiar el disco duro y reinstalar el sistema operativo, no tienen un efecto apreciable porque la infección UEFI volverá a infectar la computadora.
ESET dijo que las vulnerabilidades, rastreadas como CVE-2022-3430, CVE-2022-3431 y CVE-2022-3432, “permiten que UEFI Secure Boot se deshabilite o restaure las bases de datos de Secure Boot predeterminadas de fábrica (incluido dbx): Todo simplemente desde un sistema operativo.” El arranque seguro utiliza bases de datos para permitir y denegar mecanismos. Una base de datos DBX, en particular, almacena hashes criptográficos de claves rechazadas. Deshabilitar o restaurar los valores predeterminados en las bases de datos permite que un atacante elimine las restricciones que normalmente estarían vigentes.
“Cambiar cosas en el firmware del sistema operativo no es común, sino bastante raro”, dijo en una entrevista un investigador especializado en seguridad de firmware, que prefirió no ser identificado. “La mayoría de la gente quiere decir que para cambiar la configuración en el firmware o en el BIOS, debe tener acceso físico para presionar el botón DEL en el arranque para ingresar a la configuración y hacer cosas allí. Cuando puede hacer algunas cosas desde el sistema operativo, ese es el gran problema”.
Deshabilitar UEFI Secure Boot libera a los atacantes para ejecutar aplicaciones UEFI maliciosas, lo que generalmente no es posible porque Secure Boot requiere la firma criptográfica de aplicaciones UEFI. Mientras tanto, restaurar el DBX predeterminado de fábrica permite a los atacantes cargar un gestor de arranque vulnerable. En agosto, investigadores de la empresa de seguridad Eclypsium Identifiqué tres conductores prominentes Se pueden usar para eludir el arranque seguro cuando el atacante tiene privilegios elevados, es decir, administrador en Windows o root en Linux.
Las vulnerabilidades se pueden explotar manipulando variables en NVRAM, la memoria RAM no volátil que almacena varias opciones de arranque. Las vulnerabilidades son causadas por Lenovo que envió accidentalmente computadoras portátiles con controladores que fueron diseñados solo para su uso durante el proceso de fabricación. Los puntos débiles son:
- CVE-2022-3430: una posible vulnerabilidad en el controlador de configuración de WMI en algunas computadoras portátiles Lenovo de consumo podría permitir que un atacante elevado modifique la configuración de arranque seguro cambiando la variable NVRAM.
- CVE-2022-3431: una vulnerabilidad potencial en un controlador utilizado durante el proceso de fabricación en algunas computadoras portátiles Lenovo de consumo que no se desactivó accidentalmente podría permitir que un atacante con privilegios elevados modifique la configuración de Arranque seguro cambiando la variable NVRAM.
- CVE-2022-3432: una vulnerabilidad potencial en un controlador utilizado durante el proceso de fabricación en el Ideapad Y700-14ISK que no se desactivó accidentalmente podría permitir que un atacante con privilegios elevados modifique la configuración de Arranque seguro configurando la variable NVRAM.
Lenovo solo corrige los dos primeros. CVE-2022-3432 no se parcheará porque la empresa ya no es compatible con Ideapad Y700-14ISK, el modelo de portátil al final de su vida útil que se vio afectado. Las personas que utilicen cualquiera de los otros modelos vulnerables deben instalar los parches lo antes posible.