Hace unos días la compañía de seguridad ESET daba la voz de alarma: varios modelos de laptops del fabricante chino Lenovo estaban sujetos a vulnerabilidades por las cuales los ciberdelincuentes podían ejecutar con éxito software malicioso. Estas afectaba a los drives de su firmware.
"Las amenazas UEFI pueden ser extremadamente sigilosas y peligrosas. Se ejecutan al principio del proceso de arranque, antes de transferir el control al sistema operativo, lo que significa que pueden eludir casi todas las medidas de seguridad", alertaba Marín Smolár, quien había encontrado los agujeros de seguridad en los equipos de la marca china.
Según contaba la firma, había informado a Lenovo de estas vulnerabilidades allá por octubre, dándole un listado detallado de todos los portátiles afectados. El problema se extendía a un centenar de equipos diferentes y afectaba a millones de usuarios de todo el mundo.
La compañía asiática asegura en un comunicado enviado a los medios españoles haber solucionado estos inconvenientes.
"Desde Lenovo agradecemos a la compañía de ciberseguridad ESET haberse puesto en contacto con nosotros sobre un problema en los drivers utilizados en la fabricación de algunos de nuestros portátiles", comentan.
"Los drivers ya han sido actualizados corrigiendo el fallo, y los clientes que los han actualizado como se describe en el aviso de Lenovo están protegidos", señalan. Lenovo recuerda también que esta actualización se puede realizar a través de Lenovo Vantage, aplicación que facilita la actualización de los drivers, la ejecución de diagnósticos de dispositivos, la solicitud de asistencia y el descubrimiento de aplicaciones.
Por último, el fabricante agradece la colaboración con los investigadores de la BIOS.
Así se colaban los malos
ESET había averiguado que las dos primeras vulnerabilidades, CVE-2021-3971 y CVE-2021-3972, afectaban a los controladores de 'firmware' para UEFI, originalmente destinados a ser utilizados únicamente durante el proceso de fabricación de los dispositivos.
Los drivers se incluyeron por error también en las imágenes de los sistemas básicos de entrada y de salida (BIOS, por sus siglas en inglés) de producción sin ser desactivados correctamente.
Por su parte, la tercera vulnerabilidad, registrada como CVE-2021-3970 se refería a un fallo de corrupción de memoria SMM dentro de la función handler SW SMI, que posibilitaba la lectura y escritura arbitraria, la ejecución de código malicioso con privilegios de SMM y, potencialmente, el despliegue de un implante flash SPI.