L'ANALISI TECNICA

Lenovo: tre vulnerabilità buffer overflow nel firmware UEFI interessano più di 70 modelli di laptop

Esecuzione di codice malevolo ed escalation di privilegi sono i due rischi che si palesano dalle nuove vulnerabilità rilevate e corrette nei firmware UEFI di alcuni modelli di computer portatili Lenovo. Analizziamone il dettaglio e scopriamo come mitigare il rischio

14 Lug 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Sono state rilevate tre vulnerabilità di tipo buffer overflow nel firmware UEFI di alcuni modelli di notebook Lenovo. I bug rilevati, di media gravità, possono consentire agli aggressori di intercettare l’avvio dell’installazione di Windows.

Se il primo bug è associato al driver ReadyBootDxe solo in alcuni laptop, gli ultimi due sono associati al driver SystemLoadDefaultDxe, utilizzato nei notebook Lenovo delle seie Yoga, IdeaPad, Flex, ThinkBook, V14, V15, V130, Slim, S145 , S540, S940: in combinazione tra loro, le vulnerabilità possono interessare più di 70 singoli modelli.

Tre bug sui driver UEFI di Lenovo

Le vulnerabilità sono state scoperte dai ricercatori ESET che hanno analizzato i problemi e concluso che un utente malintenzionato potrebbe utilizzarle per dirottare il flusso di esecuzione del sistema operativo e successivamente disabilitare le funzionalità di sicurezza. I tre bug sono stati censiti come CVE-2022-1890, CVE-2022-1891 e CVE-2022-1892, tutti di media gravità.

Il problema stesso è causato da una convalida insufficiente del parametro “DataSize” passato alla funzione “GetVariable” dei servizi di runtime UEFI. Un utente malintenzionato potrebbe creare una variabile NVRAM appositamente predisposta che causerebbe un overflow del buffer di dati nella seconda chiamata a “GetVariable”.

La società ha inoltre emesso un avviso per altre due vulnerabilità che interessano molti prodotti che utilizzano il motore di gestione del server XClarity Controller. Questi difetti possono consentire agli utenti autenticati di causare una condizione DoS o di effettuare connessioni non autorizzate ai servizi interni.

Gli attacchi UEFI sono estremamente pericolosi perché consentono agli aggressori di eseguire malware all’inizio del processo di avvio del sistema operativo, prima che le protezioni integrate di Windows vengano attivate, consentendo loro di aggirare o disabilitare le protezioni a livello di sistema operativo, eludere il rilevamento e persistere anche dopo che l’unità è stata formattata.

Ci sono gli aggiornamenti per mitigare

Per evitare tali attacchi, si consiglia agli utenti di dispositivi vulnerabili di scaricare il driver più recente disponibile per i loro prodotti Lenovo. Inoltre, il produttore ha introdotto informazioni sui modelli interessati in tabella riassuntiva degli impatti insieme a avvisi di sicurezza specifici.

Per fare questo occorre cercare il proprio prodotto per nome o tipo di macchina, fare clic su “Driver e software” nel pannello del menu a sinistra, indicando poi l’aggiornamento manuale per navigare per tipo di componente. A questo punto è semplice confrontare la versione di correzione minima per il proprio prodotto dalla tabella del prodotto applicabile di seguito con l’ultima versione pubblicata sul sito di supporto.

A sua volta, ESET ha sviluppato miglioramenti del codice per Binarly efiXplorer UEFI Firmware Analyzer, che è disponibile gratuitamente su GitHub. Strumento utile per aiutare altri ricercatori a scoprire vulnerabilità simili e migliorare la sicurezza generale del firmware UEFI.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5