Lenovo ha solucionado una serie de fallas importantes en el BIOS que permiten a los actores de amenazas lanzar potencialmente todo tipo de ataques cibernéticos devastadores en una amplia gama de sus productos, desde PC de escritorio. (se abre en una pestaña nueva)a las computadoras portátiles.
En un aviso de seguridad publicado a principios de esta semana, la compañía dijo que cientos de sus dispositivos, de las series Desktop, All in One, IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation y ThinkSystem, eran vulnerables a un total de seis vulnerabilidades.
Los actores de amenazas podrían abusar de estas fallas para robar datos confidenciales, escalar privilegios, lanzar ataques de denegación de servicio y, en casos extremos, permitir la ejecución de código arbitrario.
Filtración de datos, riesgo de ejecución de código arbitrario
Las fallas que solucionó Lenovo incluyen CVE-2021-28216 (falla de puntero en TianoCore EDK II BIOS: permite la elevación de privilegios y la ejecución de código arbitrario), CVE-2022-40134 (falla de fuga de información en SMI Set Bios Password SMI Handler: permite lectura de memoria SMM), CVE-2022-40135 (vulnerabilidad de fuga de información en el controlador SMI de Smart USB Protection, permite la lectura de memoria SMM), CVE-2022-40136 (falla de fuga de información en el controlador SMI utilizado para configurar los ajustes de la plataforma a través de WMI, permite para lectura de memoria SMM), CVE-2022-40137 (desbordamiento de búfer en el controlador WMI SMI, permite la ejecución de código arbitrario), mejoras de seguridad de American Megatrends (sin CVE).
La solución para estos defectos viene como parte de la última actualización del BIOS para los dispositivos mencionados anteriormente, y la compañía aconseja a todos los administradores del sistema que los apliquen de inmediato.
Más parches (se abre en una pestaña nueva) Se espera que se lancen antes de finales de este mes, así como en octubre, con una breve lista de modelos que recibirán sus actualizaciones a principios del próximo año.
Los interesados en arreglar sus endpoints (se abre en una pestaña nueva) debe navegar al portal de «Controladores y software» de Lenovo, buscar sus dispositivos por nombre y elegir «Actualización manual». Eso descargará la última versión del firmware del BIOS, que luego pueden instalar manualmente.
Puede encontrar la lista completa de los dispositivos afectados en este enlace (se abre en una pestaña nueva).
Vía: BleepingComputer (se abre en una pestaña nueva)