La presenza di una falla a livello del BIOS dei propri prodotti non è il tipo di notizia che un esperto di sicurezza di Lenovo vorrebbe trovare sul Web.
Purtroppo, però, non tutti i ricercatori hanno la gentilezza di contattare immediatamente i produttori quando trovano una falla e tra questi troviamo Dmytro Oleksiuk, che ha affidato a una pagina su Github la comunicazione urbi et orbi della scoperta di una vulnerabilità nel firmware dei Thinkpad.
La falla, che Oleksiuk equipara a una backdoor e che Lenovo stessa ha classificato come “a rischio elevato” nel suo avviso di sicurezza, consentirebbe di disattivare i sistemi di protezione del BIOS e aprire la strada a modifiche da parte di un eventuale pirata informatico, che potrebbe in questo modo acquisire i privilegi di amministratore.
Le responsabilità di Lenovo, in questo caso, sembrano solo indirette. A quanto pare, infatti, il problema risale a una versione del BIOS “fallata” realizzata in un primo momento da Intel stessa che ha in seguito individuato la vulnerabilità e corretto il firmware.
Il problema, però, è che la correzione non sarebbe stata accompagnata da un avviso pubblico. Risultato: alcuni sviluppatori (tra cui evidentemente dei fornitori di Lenovo) hanno continuato a usare la versione fallata del System Management Mode (SMM) individuata ora da Oleksiuk.
Se le cose stessero davvero così, è probabile che anche altri produttori possano soffrire dello stesso problema. Stando al tweet di un follower di Oleksiuk, la stessa funzione sarebbe presente anche nel BIOS di almeno un computer a marchio HP.
***AGGIORNAMENTO:
Lenovo ci ha inviato una nota ufficiale sull'accaduto, che riportiamo di seguito:
Il team di Lenovo dedicato alla risposta alle minacce di sicurezza sui prodotti (Product Security Incident Response, PSIRT) è a conoscenza di commenti rilasciati da una società di ricerca indipendente relativi a una potenziale vulnerabilità legata al software BIOS SMM (System Management Mode) presente su alcuni PC di Lenovo. Poco dopo che la società di ricerca ha dichiarato sui social network che avrebbe riscontrato una vulnerabilità a livello di BIOS su alcuni prodotti di Lenovo, il team PSIRT ha tentato ripetutamente, fin qui senza successo, di contattare la società di ricerca per verificare i contenuti della dichiarazione.
Dal momento della pubblicazione dei commenti, Lenovo ha avviato la propria indagine, tutt’ora in corso. Allo stato attuale, l’azienda è a conoscenza che alcuni codici SMM vulnerabili sono stati forniti a Lenovo da almeno uno dei vendor indipendenti di BIOS (IBV). Il gruppo di codici con vulnerabilità SMM sono stati sviluppati a partire da un codice base fornito a IBV da Intel. E’ importante sottolineare come Lenovo non abbia sviluppato il codice SMM vulnerabile e stia ancora determinando l’identità dell’autore originale del codice, di cui non si conosce ancora l’obiettivo originale. Il coinvolgimento di tutti i vendor indipendenti di BIOS (IBV) e di Intel è parte dell’indagine che Lenovo sta svolgendo per identificare o escludere qualsiasi ulteriore caso relativo alla presenza di vulnerabilità nel BIOS fornito a Lenovo da altri IBV e allo stesso tempo sta lavorando per individuare lo scopo originario del codice vulnerabile.
Lenovo si impegna a garantire la sicurezza dei propri prodotti e sta collaborando con gli IBV per sviluppare una soluzione che elimini questa vulnerabilità il più velocemente possibile. Maggiori informazioni sulla soluzione sviluppata saranno pubblicate, non appena disponibili, sul sito di Lenovo nella sezione “Product Security Advisories”, al seguente link: https://support.lenovo.com/us/