A Lenovo lançou atualizações de segurança para mais de 100 modelos de laptops para corrigir vulnerabilidades críticas que possibilitam que hackers avançados instalem clandestinamente firmwares maliciosos que podem ser quase impossíveis de remover ou, em alguns casos, detectar.

Três vulnerabilidades que afetam mais de 1 milhão de laptops podem dar aos hackers a capacidade de modificar o UEFI de um computador. abreviatura de Interface extensível de firmware unificadaUEFI é o software que vincula o firmware do dispositivo de um computador ao seu sistema operacional. Como o primeiro software a ser executado quando praticamente qualquer máquina moderna é ligada, é o elo inicial na cadeia de segurança. Como o UEFI reside em um chip flash na placa-mãe, as infecções são difíceis de detectar e ainda mais difíceis de remover.

Oh não

Duas das vulnerabilidades, rastreadas como CVE-2021-3971 e CVE-2021-3972, residem em drivers de firmware UEFI destinados ao uso apenas durante o processo de fabricação de laptops de consumidor Lenovo. Os engenheiros da Lenovo inadvertidamente incluíram os drivers nas imagens do BIOS de produção sem desativá-los adequadamente. Os hackers podem explorar esses drivers defeituosos para desabilitar proteções, incluindo UEFI Secure Boot, bits de registro de controle do BIOS e registro de intervalo protegido, que são incorporados ao interface periférica serial (SPI) e projetado para evitar alterações não autorizadas no firmware que executa.

Depois de descobrir e analisar as vulnerabilidades, pesquisadores da empresa de segurança ESET encontraram uma terceira vulnerabilidade, CVE-2021-3970. Ele permite que hackers executem firmware malicioso quando uma máquina é colocada no modo de administração do sistema, um modo operacional de alto privilégio frequentemente usado por fabricantes de hardware para administração de sistema de baixo nível.

“Com base na descrição, esses são tipos de ataques bastante ‘oh não’ para invasores suficientemente avançados”, disse Trammel Hudson, pesquisador de segurança especializado em hackers de firmware, ao Ars. “Ignorar as permissões de flash SPI é ruim o suficiente.”

Ele disse que a gravidade pode ser reduzida com proteções como o BootGuard, projetado para impedir que pessoas não autorizadas executem firmware malicioso durante o processo de inicialização. Além disso, pesquisadores no passado descobriram vulnerabilidades críticas que subvertem o BootGuard. Eles incluem um trio de defeitos descoberto por Hudson em 2020 que impedia que a proteção funcionasse quando um computador acordava do modo de suspensão.

Entrando no mainstream

Embora ainda raros, os chamados implantes SPI estão se tornando mais comuns. Uma das maiores ameaças da Internet, um malware conhecido como Trickbot, em 2020 começou a incorporar um driver em sua base de código que permite que as pessoas gravar firmware em praticamente qualquer dispositivo. Os únicos outros dois casos documentados de firmware UEFI malicioso sendo usado na natureza são lojaxque foi escrito pelo grupo de hackers do estado russo conhecido por vários nomes, incluindo Sednit, Fancy Bear ou APT 28. A segunda instância foi o malware UEFI que a empresa de segurança Kaspersky descoberto em computadores de figuras diplomáticas na Ásia.

Todas as três vulnerabilidades da Lenovo descobertas pela ESET requerem acesso local, o que significa que o invasor já deve ter controle sobre a máquina vulnerável com privilégios ilimitados. A barreira para esse tipo de acesso é alta e provavelmente exigiria a exploração de uma ou mais vulnerabilidades críticas em outros lugares que já colocariam o usuário em risco considerável.

Ainda assim, as vulnerabilidades são graves porque podem infectar laptops vulneráveis ​​com malware que vai muito além do que normalmente é possível com malware mais convencional. A Lenovo tem uma lista aqui de mais de 100 modelos afetados.