Cabecera-v2-web.jpg

Vulnerabilidades de firmware UEFI detectadas en portátiles Lenovo


20/04/2022

Lenovo ha publicado un aviso de seguridad sobre las vulnerabilidades que afectan a su interfaz de firmware extensible unificada (UEFI), que permitirían a un atacante con privilegios realizar ejecución remota de código (RCE) y ejecutar implantes de firmware en los dispositivos afectados.


Las vulnerabilidades reportadas son: CVE-2021-3970, CVE-2021-3971 y CVE-2021-3972. Las cuales se detallan a continuación:

  • CVE-2021-3970 sin una criticidad, ni puntuación asignada aún. Esta falla se encuentra en LenovoVariable SMI Handler debido a la corrupción de memoria SMM dentro de la función de controlador SW SMI, que permitiría un atacante con acceso local y privilegios elevados realizar ejecución remota de código (RCE).
  • CVE-2021-3971 sin una criticidad, ni puntuación asignada aún. Esta falla se debe a un posible controlador utilizado durante procesos de fabricación más antiguos en algunos dispositivos Lenovo Notebook de consumo (incluido por error en la imagen del BIOS), que permitiría a un atacante con privilegios elevados modificar la región de protección del firmware modificando una variable “NVRAM”.
  • CVE-2021-3972 sin una criticidad, ni puntuación asignada aún. Esta falla se debe a un posible controlador utilizado durante procesos de fabricación más antiguos en algunos dispositivos Lenovo Notebook de consumo (no desactivado por error), que permitiría a un atacante con privilegios elevados modificar la región de protección del firmware modificando una variable “NVRAM”.

Nota: La explotación exitosa de las tres vulnerabilidades, permitiría a un atacante deshabilitar las protecciones flash SPI o el arranque seguro, otorgando efectivamente al mismo la capacidad de instalar malware persistente que puede sobrevivir a los reinicios del sistema.

Los modelos de portátiles Lenovo afectados son:

  • Portátil Flex 3-11ADA05 (ideapad)
  • IdeaPad 3 15ADA05 Laptop
  • L3-15IML05 Laptop (ideapad)

Una lista completa de los modelos de portátiles afectados por cada una de las tres vulnerabilidades está disponible en este enlace.

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante los siguientes enlaces:

Adicionalmente, recomendamos seguir estos pasos para la actualización:

  1. Buscar el producto por nombre o tipo de máquina.
  2. Hacer clic en Controladores y software en el panel de menú de la izquierda.
  3. Hacer clic en Actualización manual para explorar por tipo de componente.
  4. Comparar la versión de corrección mínima para su producto de la tabla de productos aplicable a continuación con la última versión publicada en el sitio de soporte.

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11