3 bug rilevati sul firmware UEFI di Lenovo. Milioni di dispositivi in pericolo.

Lenovo ha corretto tre vulnerabilità (CVE-2021-3970, CVE-2021-3971 e CVE-2021-3972) nel firmware UEFI che potrebbero consentire la distribuzione e l’esecuzione di malware nel BIOS sui laptop Lenovo.

Negli attacchi informatici UEFI, il malware viene scaricato su un dispositivo compromesso all’inizio del processo di avvio. Pertanto, il malware può falsificare i dati di configurazione, stabilire la persistenza e aggirare le misure di sicurezza che vengono caricate dal sistema operativo.

Secondo ESET, le vulnerabilità interessano

“più di cento diversi modelli di laptop consumer con milioni di utenti in tutto il mondo”

e sono causate da driver destinati all’uso solo durante la fase di sviluppo dei prodotti Lenovo. I prodotti interessati includono tablet IdeaPad, dispositivi di gioco Legion e laptop Flex e Yoga.

La prima vulnerabilità (CVE-2021-3970) interessa la funzione del gestore SMI SW ed è causata da una convalida errata dell’input. Consente agli aggressori di leggere/scrivere su SMRAM, il che a sua volta può portare all’esecuzione di codice dannoso con privilegi SMM e all’implementazione di impianti flash SPI.

Altre due vulnerabilità (CVE-2021-3971 e CVE-2021-3972) sono invece correlate ai driver SecureBackDoor e SecureBackDoorPeim.

Gli aggressori con privilegi sufficientemente elevati possono utilizzare la CVE-2021-3971 per modificare le impostazioni del firmware UEFI, mentre la CVE-2021-3972 richiede la manomissione delle variabili NVRAM per distribuire impianti dannosi.

ESET ha segnalato tre vulnerabilità a Lenovo l’11 ottobre 2021 e la società ha risolto i problemi. Si consiglia agli utenti di applicare le correzioni immediatamente.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks