imágenes falsas
Más de dos docenas de modelos de portátiles Lenovo son vulnerables a ataques maliciosos que deshabilitan el proceso de arranque seguro UEFI y luego ejecutan aplicaciones UEFI no firmadas o cargan cargadores de arranque que bloquean permanentemente un dispositivo, advirtieron los investigadores el miércoles.
Al mismo tiempo que investigadores de la firma de seguridad ESET reveló las vulnerabilidades, el fabricante de portátiles lanzó actualizaciones de seguridad para 25 modelos, incluidos ThinkPads, Yoga Slims e IdeaPads. Las vulnerabilidades que socavan el arranque seguro de UEFI pueden ser graves porque hacen posible que los atacantes instalen firmware malicioso que sobrevive a varias reinstalaciones del sistema operativo.
No común, incluso raro
Abreviatura de Interfaz de firmware extensible unificada, UEFI es el software que une el firmware del dispositivo de una computadora con su sistema operativo. Como la primera pieza de código que se ejecuta cuando se enciende prácticamente cualquier máquina moderna, es el primer eslabón de la cadena de seguridad. Debido a que UEFI reside en un chip flash en la placa base, las infecciones son difíciles de detectar y eliminar. Las medidas típicas, como limpiar el disco duro y reinstalar el sistema operativo, no tienen un impacto significativo porque la infección UEFI simplemente volverá a infectar la computadora después.
ESET dijo que las vulnerabilidades, rastreadas como CVE-2022-3430, CVE-2022-3431 y CVE-2022-3432, “permiten deshabilitar UEFI Secure Boot o restaurar las bases de datos de Secure Boot predeterminadas de fábrica (incluido dbx): todo simplemente desde un sistema operativo .” El arranque seguro utiliza bases de datos para permitir y denegar mecanismos. La base de datos DBX, en particular, almacena hashes criptográficos de claves denegadas. Deshabilitar o restaurar los valores predeterminados en las bases de datos hace posible que un atacante elimine las restricciones que normalmente existirían.
“Cambiar cosas en el firmware del sistema operativo no es común, incluso raro”, dijo en una entrevista un investigador especializado en seguridad de firmware, que prefirió no ser identificado. “La mayoría de la gente quiere decir que para cambiar la configuración en el firmware o en el BIOS, debe tener acceso físico para presionar el botón DEL en el arranque para ingresar a la configuración y hacer las cosas allí. Cuando puedes hacer algunas de las cosas desde el sistema operativo, eso es algo importante”.
Deshabilitar el arranque seguro UEFI libera a los atacantes para que ejecuten aplicaciones UEFI maliciosas, algo que normalmente no es posible porque el arranque seguro requiere que las aplicaciones UEFI estén firmadas criptográficamente. Mientras tanto, restaurar el DBX predeterminado de fábrica permite a los atacantes cargar cargadores de arranque vulnerables. En agosto, los investigadores de la firma de seguridad Eclypsium identificaron tres controladores de software destacados que podrían usarse para eludir el arranque seguro cuando un atacante tiene privilegios elevados, es decir, administrador en Windows o raíz en Linux.
Las vulnerabilidades se pueden explotar manipulando variables en NVRAM, la memoria RAM no volátil que almacena varias opciones de arranque. Las vulnerabilidades son el resultado de que Lenovo envió por error portátiles con controladores que habían sido diseñados para usarse solo durante el proceso de fabricación. Las vulnerabilidades son:
- CVE-2022-3430: una vulnerabilidad potencial en el controlador de configuración de WMI en algunos dispositivos portátiles Lenovo de consumo puede permitir que un atacante con privilegios elevados modifique la configuración de arranque seguro cambiando una variable NVRAM.
- CVE-2022-3431: una vulnerabilidad potencial en un controlador utilizado durante el proceso de fabricación en algunos dispositivos portátiles de Lenovo para consumidores que no se desactivó por error puede permitir que un atacante con privilegios elevados modifique la configuración de arranque seguro alterando una variable NVRAM.
- CVE-2022-3432: una vulnerabilidad potencial en un controlador utilizado durante el proceso de fabricación en el Ideapad Y700-14ISK que no se desactivó por error puede permitir que un atacante con privilegios elevados modifique la configuración de arranque seguro ajustando una variable NVRAM.
Lenovo está parcheando solo los dos primeros. CVE-2022-3432 no se parcheará porque la empresa ya no es compatible con Ideapad Y700-14ISK, el modelo de portátil al final de su vida útil afectado. Las personas que utilicen cualquiera de los otros modelos vulnerables deben instalar los parches tan pronto como sea posible.