Lenovo: proteggere i sistemi con la correzione di una vulnerabilità UEFI

I ricercatori di ESET hanno annunciato di aver scoperto diverse vulnerabilità nel firmware Lenovo che potrebbero essere sfruttate da parte di aggressori e criminali informatici per caricare codice arbitrario a ogni avvio del sistema rendendolo peraltro più difficile da individuare e complesso da rimuovere.

Lenovo ha confermato che il problema riguarda almeno 100 modelli dei suoi notebook e invita gli utenti a installare tempestivamente gli aggiornamenti correttivi.

Sono complessivamente tre le lacune di sicurezza venute a galla: esse permettono a un aggressore disattivare la protezione a livello del chip flash SPI dove è memorizzato il codice del BIOS UEFI e ad esempio di disattivare la funzionalità Secure Boot.

Lo sfruttamento di una delle tre vulnerabilità (CVE-2021-3970) consente a un aggressore locale di eseguire codice arbitrario con privilegi elevati.

Due delle tre problematiche individuate da ESET sono la conseguenza dell’erronea introduzione nel firmware reso pubblico di due driver, chiamati SecureBackDoor e SecureBackDoorPeim, che avrebbero dovuto restare all’interno della struttura di Lenovo perché adoperati con finalità di sviluppo e test.
Una lista completa dei modelli di notebook Lenovo interessati dal problema di sicurezza è stata pubblicata in questa pagina.

Come spesso ricordato, vulnerabilità simili a quelle trovate da ESET sono particolarmente pericolose perché permettono di abilitare il caricamento di codice che viene elaborato prima dell’avvio del sistema operativo.
Certo, l’individuazione del codice malevolo è possibile verificando l’integrità del firmware UEFI, esaminandolo in tempo reale e monitorandone il comportamento per far emergere eventuali attività sospette. Ciò implica tuttavia l’utilizzo di tecniche più avanzate quando dati personali e informazioni riservate potrebbero essere già state sottratte.

Malware come LoJax (2018, sviluppato da aggressori vicini a enti governativi russi) ed ESPecter (identificato nel 2021 ma attivo sin dal 2012 come bootkit) sfruttano proprio l’applicazione di modifiche a livello di firmware.
Un cliché molto simile è stato utilizzato da minacce quali MosaicRegressor (2020), FinSpy (2021) e MoonBounce (2022), tutte scoperte da Kaspersky.

Per proteggersi dagli attacchi derivanti dalle vulnerabilità di cui sopra, Lenovo raccomanda agli utenti di aggiornare la versione del firmware di sistema all’ultima disponibile.