Tre, il numero imperfetto Soprattuto per gli uteti possessori di PC Lenovo. Ci sono alcuni laptop della multinazionale pechinese, che si è espansa anche negli Stati Uniti con tanto di sede a Morrisville, soggetti a pericolosi malware.
La scoperta va ascritta all’autorevole ESET, nota azienda slovacca che sviluppa software e servizi di sicurezza IT da oltre trenta anni, leader del settore per proteggere aziende, infrastrutture critiche e consumatori in tutto il mondo da minacce digitali sempre più sofisticate.
Un team di ricercatori ESET, infatti, ha analizzato in particolare tre vulnerabilità, appunto, che interessano vari modelli di laptop Lenovo. Bug non di poco conto, in quanto se sfruttate queste vulnerabilità consentirebbe ai cyber criminali di distribuire ed eseguire con successo il malware UEFI sotto forma di impianti flash SPI, come LoJax o impianti ESP.
Backdoor sicure, cos’è la minaccia UEFI
“Le minacce UEFI possono essere estremamente furtive e pericolose”. Parola di Martin Smolár. “Vengono eseguiti all’inizio del processo di avvio – spiega uno dei ricercatori ESET che ha scoperto le vulnerabilità riguardanti Lenovo – prima di trasferire il controllo al sistema operativo, il che significa che possono aggirare quasi tutte le misure di sicurezza e le attenuazioni più in alto nello stack che potrebbero impedire l’esecuzione dei carichi utili del loro sistema operativo“.
Il team ha prontamente segnalato la tripla vulnerabilità all’azienda cinese già lo scorso ottobre: complessivamente l’elenco dei dispositivi interessati contiene più di cento diversi modelli di laptop con milioni di utenti in tutto il mondo. Numeri non di poco conto.
“La nostra scoperta di queste cosiddette backdoor sicure UEFI – continuano da ESET – dimostra che in alcuni casi, l’implementazione delle minacce UEFI potrebbe non essere così difficile come previsto e la maggiore quantità di minacce UEFI nel mondo reale scoperte negli ultimi anni suggerisce che gli avversari ne sono consapevoli”.
Due di queste vulnerabilità classificate come CVE-2021-3970 e CVE-2021-3971 rientrano esattamente nel backdoor “sicure” integrate nel firmware UEFI poiché questo è letteralmente il nome dato ai driver UEFI Lenovo che ne implementano uno (CVE-2021-3971): SecureBackDoor e SecureBackDoorPeim. Queste backdoor integrate possono essere attivate per disabilitare le protezioni flash SPI (bit del registro di controllo BIOS e registri dell’intervallo di protezione) o la funzione UEFI Secure Boot da un processo in modalità utente privilegiato durante il runtime del sistema operativo.
E’ durante l’analisi dei binari “sicuri” delle backdoor che ESET ha scoperto la terza vulnerabilità, forse la più pericolosa in quanto riguarda il possibile danneggiamento della memoria SMM all’interno della funzione del gestore SMI SW (CVE-2021-3972).
Questa vulnerabilità consente la lettura/scrittura arbitraria da/in SMRAM, che può portare all’esecuzione di codice dannoso con privilegi SMM e potenzialmente portare all’implementazione di un impianto flash SPI.
