El firmware UEFI utilizado en varias computadoras portátiles fabricadas por Lenovo es vulnerable a tres vulnerabilidades de desbordamiento de búfer que podrían permitir a los atacantes secuestrar la rutina de inicio de las instalaciones de Windows.

Lenovo ha emitido un aviso de seguridad que revela tres vulnerabilidades de gravedad media rastreadas como CVE-2022-1890, CVE-2022-1891 y CVE-2022-1892.

El primero es un problema en el controlador ReadyBootDxe que se usa en algunos productos portátiles de Lenovo, mientras que los dos últimos son errores de desbordamiento de búfer en el controlador SystemLoadDefaultDxe.

Este segundo controlador se utiliza en las líneas Lenovo Yoga, IdeaPad, Flex, ThinkBook, V14, V15, V130, Slim, S145, S540 y S940, y afecta a más de 70 modelos individuales.

Para obtener más información sobre los modelos afectados, consulte la  tabla de impacto de productos de Lenovo  en la parte inferior del  aviso de seguridad .

Según ESET, cuyos analistas descubrieron los tres errores y los informaron a Lenovo, un atacante podría aprovecharlos para secuestrar el flujo de ejecución del sistema operativo y desactivar las funciones de seguridad.

“Estas vulnerabilidades fueron causadas por una validación insuficiente del parámetro DataSize pasado a la función GetVariable de UEFI Runtime Services”, explica ESET Research en un tweet.

“Un atacante podría crear una variable NVRAM especialmente diseñada, lo que provocaría un desbordamiento del búfer de datos en la segunda llamada GetVariable”.

Variable para activar la explotación de CVE-2022-1892 (ESET Research)

Para ayudar a la comunidad de ciberseguridad a identificar y solucionar problemas similares, ESET envió mejoras de código al analizador de firmware UEFI de Binarly ‘efiXplorer’, que está disponible gratuitamente  en GitHub .

Secuestro del sistema operativo

Los ataques de firmware UEFI son extremadamente peligrosos porque permiten que los actores de amenazas ejecuten malware en una etapa temprana del proceso de arranque de un sistema operativo, incluso antes de que se activen las protecciones de seguridad integradas de Windows.

Este primer nivel de acceso permite que el malware pase por alto o deshabilite las protecciones de seguridad a nivel del sistema operativo, evada la detección y persista incluso después de formatear un disco.

Si bien los actores remotos poco calificados no pueden explotar fácilmente estas fallas, los piratas informáticos más capaces con acceso (malware o práctico) a una máquina objetivo podrían aprovechar las vulnerabilidades para compromisos silenciosos pero ultrapoderosos.

Para abordar el riesgo de seguridad, se recomienda a los usuarios de los dispositivos afectados que descarguen la última versión disponible del controlador para sus productos, que se puede encontrar en el  portal de descarga de software oficial de Lenovo .

Si tiene problemas para determinar qué modelo está usando, Lenovo ofrece un  detector automático en línea  que puede usar en su lugar.

fuente:bleepingcomputer