Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime, Analisi Vulnerabilità e Intelligenza Artificiale
3 bug rilevati sul firmware UEFI di Lenovo. Milioni di dispositivi in pericolo.

3 bug rilevati sul firmware UEFI di Lenovo. Milioni di dispositivi in pericolo.

20 Aprile 2022 12:40

Lenovo ha corretto tre vulnerabilità (CVE-2021-3970, CVE-2021-3971 e CVE-2021-3972) nel firmware UEFI che potrebbero consentire la distribuzione e l’esecuzione di malware nel BIOS sui laptop Lenovo.

Negli attacchi informatici UEFI, il malware viene scaricato su un dispositivo compromesso all’inizio del processo di avvio. Pertanto, il malware può falsificare i dati di configurazione, stabilire la persistenza e aggirare le misure di sicurezza che vengono caricate dal sistema operativo.

Secondo ESET, le vulnerabilità interessano

Advertising

“più di cento diversi modelli di laptop consumer con milioni di utenti in tutto il mondo”

e sono causate da driver destinati all’uso solo durante la fase di sviluppo dei prodotti Lenovo. I prodotti interessati includono tablet IdeaPad, dispositivi di gioco Legion e laptop Flex e Yoga.

La prima vulnerabilità (CVE-2021-3970) interessa la funzione del gestore SMI SW ed è causata da una convalida errata dell’input. Consente agli aggressori di leggere/scrivere su SMRAM, il che a sua volta può portare all’esecuzione di codice dannoso con privilegi SMM e all’implementazione di impianti flash SPI.

Altre due vulnerabilità (CVE-2021-3971 e CVE-2021-3972) sono invece correlate ai driver SecureBackDoor e SecureBackDoorPeim.

Gli aggressori con privilegi sufficientemente elevati possono utilizzare la CVE-2021-3971 per modificare le impostazioni del firmware UEFI, mentre la CVE-2021-3972 richiede la manomissione delle variabili NVRAM per distribuire impianti dannosi.

Advertising

ESET ha segnalato tre vulnerabilità a Lenovo l’11 ottobre 2021 e la società ha risolto i problemi. Si consiglia agli utenti di applicare le correzioni immediatamente.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Agostino Pellegrino 300x300
E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.
Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks