Mais de duas dúzias de modelos de computadores Lenovo são vulneráveis a hacks maliciosos que desativam o processo de inicialização segura UEFI e, em seguida, executam aplicativos UEFI não seguros ou carregam bootloaders que fazem backdoor permanente num dispositivo, alertaram os pesquisadores na passada quarta-feira.
A Lenovo lançou actualizações de segurança para 25 modelos dos seus computadores portáteis, numa resposta à vulnerabilidades que poderiam permitir a um hacker instalar firmware malicioso.
As vulnerabilidades, que foram reveladas pela empresa de segurança ESET, colocam em causa a funcionalidade de arranque seguro UEFI e podem ser graves porque tornam possível aos hackers instalarem firmware malicioso que sobrevive a múltiplas reinstalações do sistema operativo.
#ESETResearch discovered and reported to the manufacturer 3 vulnerabilities in the #UEFI firmware of several Lenovo Notebooks. The vulnerabilities allow disabling UEFI Secure Boot or restoring factory default Secure Boot databases (incl. dbx): all simply from an OS. @smolar_m 1/9
— ESET research (@ESETresearch) November 9, 2022
UEFI é o software que conecta o firmware do dispositivo de um computador com o seu sistema operacional. Como o primeiro pedaço de código a ser executado quando praticamente qualquer máquina moderna é ligada, é o primeiro elo da cadeia de segurança. Como o UEFI reside num chip flash na placa-mãe, os ataques são difíceis de detectar e remover. Medidas típicas, como limpar o disco rígido e reinstalar o sistema operativo, não têm impacto significativo porque a infecção UEFI simplesmente reinfectará o computador posteriormente.
A ESET disse que as vulnerabilidades rastreadas como CVE-2022-3430, CVE-2022-3431 e CVE-2022-3432 “permitem desabilitar o UEFI Secure Boot ou restaurar os bancos de dados Secure Boot padrão de fábrica: tudo simplesmente a partir de um sistema operativo.” A inicialização segura usa bancos de dados para permitir e negar mecanismos. Os banco de dados DBX, em particular, armazena hashes criptográficos de chaves rejeitadas. Desabilitar ou restaurar os valores padrão nos bancos de dados possibilita que um invasor remova as restrições que normalmente estariam em vigor.
As vulnerabilidades podem ser exploradas adulterando variáveis na NVRAM, a RAM não volátil que armazena várias opções de inicialização. As vulnerabilidades são o resultado do envio dos computadores da Lenovo com as drivers que deveriam ser usados apenas durante o processo de fabricação. As vulnerabilidades são:
- CVE-2022-3430: Uma vulnerabilidade potencial no driver WMI Setup em alguns dispositivos Lenovo Notebook pode permitir que um invasor com privilégios elevados modifique as configurações de inicialização segura alterando uma variável NVRAM.
- CVE-2022-3431: Uma vulnerabilidade potencial num driver usado durante o processo de fabricação em alguns dispositivos Lenovo Notebook de consumidor que não foi desativado por engano pode permitir que um invasor com privilégios elevados modifique a configuração de inicialização segura alterando uma variável NVRAM.
- CVE-2022-3432: Uma vulnerabilidade potencial num driver usado durante o processo de fabricação no Ideapad Y700-14ISK que não foi desativado por engano pode permitir que um invasor com privilégios elevados modifique a configuração de inicialização segura ajustando uma variável NVRAM.
A Lenovo está a corrigir apenas os dois primeiros. O CVE-2022-3432 não será corrigido porque a empresa não suporta mais o Ideapad Y700-14ISK, o modelo de notebook em fim de vida que foi afetado. As pessoas que usam qualquer um dos outros modelos vulneráveis devem instalar as atualizações assim que possível.
Fonte: lenovo
