Los piratas informáticos pueden infectar más de 100 modelos de Lenovo con malware que no se puede eliminar.  ¿Estás parcheado?

imágenes falsas

Lenovo ha lanzado actualizaciones de seguridad para más de 100 modelos de portátiles para abordar vulnerabilidades críticas que permiten a los piratas informáticos avanzados instalar sigilosamente firmware malicioso que es casi imposible de eliminar o, en algunos casos, detectar.

Tres vulnerabilidades que afectan a más de 1 millón de computadoras portátiles podrían permitir a los piratas informáticos cambiar la UEFI de una computadora. UEFI, abreviatura de Interfaz de firmware extensible unificada, es el software que conecta el firmware del dispositivo de una computadora a su sistema operativo. Como el primer software que se ejecuta cuando prácticamente todas las máquinas modernas están encendidas, es el primer eslabón de la cadena de seguridad. Debido a que UEFI reside en un chip flash en la placa base, las infecciones son difíciles de detectar y aún más difíciles de eliminar.

Oh, no

Dos de las vulnerabilidades, rastreadas como CVE-2021-3971 y CVE-2021-3972, residen en los controladores de firmware UEFI destinados solo para su uso durante el proceso de fabricación de las computadoras portátiles de consumo de Lenovo. Los ingenieros de Lenovo colocaron accidentalmente los controladores en las imágenes del BIOS de producción sin deshabilitarlos correctamente. Los piratas informáticos pueden explotar estos controladores defectuosos para deshabilitar las protecciones, incluido el arranque seguro UEFI, los bits de registro de control del BIOS y los registros de rango protegido integrados en la interfaz periférica en serie (SPI) que están diseñados para evitar modificaciones no autorizadas en el firmware que se ejecuta en él.

Después de descubrir y analizar las vulnerabilidades, los investigadores de la empresa de seguridad ESET encontraron una tercera vulnerabilidad, CVE-2021-3970. Permite a los piratas informáticos ejecutar firmware malicioso cuando una computadora se pone en modo de administración de sistemas, un modo operativo de privilegios elevados que suelen utilizar los fabricantes de hardware para la administración de sistemas de bajo nivel.

«Según la descripción, estos son tipos de ataques bastante ‘oh no’ para atacantes suficientemente avanzados», dijo a Ars Trammel Hudson, un investigador de seguridad especializado en hacks de firmware. Los permisos son bastante malos.

Dijo que la gravedad se puede reducir con protecciones como BootGuard, que está diseñado para evitar que personas no autorizadas ejecuten firmware malicioso durante el proceso de arranque. Por otro lado, los investigadores en el pasado han descubierto vulnerabilidades críticas que socavan BootGuard. Estos incluyen tres errores descubiertos por Hudson en 2020 que impedían que la protección funcionara cuando una computadora salía del modo de suspensión.

Colarse en la corriente principal

Aunque todavía son raros, los llamados implantes SPI son cada vez más comunes. Una de las mayores amenazas para Internet, una pieza de malware conocida como Trickbot, comenzó en 2020 al incorporar un controlador en su base de código que permitiría a las personas escribir firmware en prácticamente cualquier dispositivo. Las otras dos únicas instancias documentadas de firmware UEFI malicioso que se usa en la naturaleza son LoJax escrito por el grupo de piratas informáticos del estado ruso conocido por varios nombres, incluidos Sednit, Fancy Bear o APT 28. La segunda instancia de malware UEFI de esta empresa de seguridad Kaspersky se descubrió en computadoras de diplomáticos en Asia.

Las tres vulnerabilidades de Lenovo descubiertas por ESET requieren acceso local, lo que significa que el atacante ya debe tener el control total de la computadora vulnerable. El obstáculo para este tipo de acceso es alto y probablemente requeriría la explotación de una o más vulnerabilidades críticas en otros lugares que ya pondrían al usuario en un riesgo significativo.

Aún así, las vulnerabilidades son serias, ya que pueden infectar computadoras portátiles vulnerables con malware mucho más allá de lo que normalmente es posible con el malware tradicional. Lenovo tiene una lista de más de 100 modelos afectados aquí.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí