L'ANALISI TECNICA

Lenovo, tre vulnerabilità nel firmware UEFI mettono a rischio milioni di notebook

Sono state scoperte tre gravi vulnerabilità nel firmware UEFI di oltre 100 modelli di notebook Lenovo: se sfruttate, potrebbero consentire a un attaccante di aggirare i meccanismi di protezione e installare malware. Ecco tutti i dettagli e i consigli per mettere in sicurezza i propri dispositivi

20 Apr 2022
D
Manuel De Stefano

IT Process Expert

Sono stati scoperti tre problemi di sicurezza nel firmware UEFI installato su oltre 100 modelli di notebook Lenovo (fra cui IdeaPad 3, Legion 5 Pro e Yoga Slim 9) che potrebbero consentire a un attaccante di aggirare i meccanismi di protezione e installare malware.

In particolare, come si legge nell’avviso di sicurezza pubblicato dal produttore, le prime due vulnerabilità (CVE-2021-3971 e CVE-2021-3972) potrebbero consentire a un criminal hacker di disabilitare la protezione per il chip di memoria flash SPI in cui è memorizzato il firmware e di disattivare la funzione UEFI Secure Boot, che garantisce il caricamento all’avvio del sistema del solo il codice attendibile dal produttore di apparecchiature originali (OEM).

La terza vulnerabilità, identificata come CVE-2021-3970, potrebbe invece consentire a un utente malintenzionato di eseguire codice arbitrario con privilegi elevati.

Tutte e tre le vulnerabilità sono state scoperte dai ricercatori ESET e segnalate responsabilmente a Lenovo nell’ottobre dello scorso anno.

Un driver aggiunto per errore

I ricercatori di ESET avvertono che le prime due vulnerabilità legate al firmware UEFI possono essere utilizzate dagli hacker per “dispiegare ed eseguire con successo impianti SPI flash o ESP”.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Entrambi i problemi di sicurezza derivano dall’introduzione in fase di produzione di due driver firmware UEFI – denominati SecureBackDoor e SecureBackDoorPeim – che vengono utilizzati solo durante il processo di produzione. Nell’avviso di sicurezza di Lenovo si legge:

CVE-2021-3971: Una potenziale vulnerabilità da parte di un driver utilizzato durante i processi di produzione presente su alcuni dispositivi notebook Lenovo consumer è stata erroneamente inclusa nell’immagine del BIOS, e potrebbe consentire ad un utente malintenzionato con privilegi elevati di modificare l’area di protezione del firmware modificando una variabile NVRAM.

e

CVE-2021-3972: Una potenziale vulnerabilità da parte di un driver utilizzato durante il processo di produzione su alcuni notebook Lenovo consumer che non è stata erroneamente disattivata può consentire ad un utente malintenzionato con privilegi elevati di modificare l’impostazione di avvio sicura modificando una variabile NVRAM.

Un elenco completo dei modelli di notebook Lenovo interessati da ciascuna delle tre vulnerabilità è disponibile qui.

Ecco perché le vulnerabilità EUFI sono pericolose

Secondo i ricercatori ESET, “le minacce EUFI possono essere estremamente furtive e pericolose” perché vengono eseguite “all’inizio del processo di avvio del dispositivo, prima di trasferire il controllo al sistema operativo”.

Ciò significa che la maggior parte delle mitigazioni e delle soluzioni di sicurezza attive a livello di sistema operativo sono inutili: di fatto, quindi, l’esecuzione del payload malevolo è quasi inevitabile ed è possibile rilevarlo solo adottando tecniche avanzate come i controlli di integrità UEFI, l’analisi del firmware in tempo reale o il monitoraggio del comportamento del firmware e del dispositivo per attività sospette.

Gli stessi ricercatori, inoltre, hanno scoperto che due di queste installazioni malware sono già state utilizzate in passato da attori delle minacce:

  • Lojax: identificato nel 2018 e utilizzato dal gruppo criminale APT28 (conosciuto anche come Fancy Bear, Sednit, Strontium e Sofacy) sostenuto dal governo russo;
  • ESPecter: identificato nel 2021 ma attivo dal 2012 (come bootkit per sistemi basati su BIOS) per la persistenza sulla EFI System Partition (ESP)-

Tuttavia, queste non sono le uniche minacce UEFI scoperte: nel 2020 ha fatto la sua comparsa MosaicRegressor, seguito nel 2021 da FinFisher, mentre a gennaio di quest’anno è stato rilevato il malware MoonBounce.

Come proteggersi

Per proteggersi dagli attacchi derivanti dalle vulnerabilità nei firmware UEFI, Lenovo consiglia agli utenti dei dispositivi interessati di aggiornare la versione del firmware di sistema all’ultima disponibile.

Questo può essere fatto installando l’aggiornamento manualmente dalla pagina di supporto del dispositivo o con l’aiuto di utilità per l’aggiornamento dei driver di sistema fornite dall’azienda.

Inoltre, per ogni dispositivo, è sempre buona norma verificare periodicamente la presenza di aggiornamenti rilasciati direttamente dal produttore.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3