Brutte notizie per tutti (o quasi) i possessori di portatili a marchio Lenovo. La società cinese ha infatti pubblicato sul proprio sito un avviso di sicurezza che riguarda tre vulnerabilità della sua Unified Extensibile Firmware Interface (UEFI), che risulta essere caricata su oltre 100 modelli di portatili.
La scoperta è stata effettuata dai ricercatori ESET che hanno provveduto ad inoltrarla a Lenovo nell’ottobre del 2021. Come detto in precedenza, i modelli di portatili afflitti da questa problematica sono più di 100 e vanno da quelli più economici, come l’Ideapad 3, a prodotti di fascia più alta come il Legion 5 Pro 16ACH6 e lo Yoga Slim 9 14ITL05, mettendo quindi a rischio milioni di utenti in tutto il mondo. Qui potete trovare l’elenco completo dei modelli coinvolti, mentre molti altri dispositivi che pur essendo anche loro interessati da queste vulnerabilità hanno raggiunto il supporto per l’End Of Development (EODS) verranno elencati nel repository di divulgazione delle vulnerabilità di ESET.
I problemi che affliggono la UEFI di Lenovo consentono ad utenti malintenzionati di poter disabilitare la protezione per il chip di memoria flash SPI in cui si trova il firmware UEFI (CVE-2021-3971) e poter disattivare la funzione Secure Boot (CVE-2021-3972), che impedisce l’avvio del sistema se viene rilevato software non autorizzato dal produttore. Queste due vulnerabilità riguardano i driver del firmware UEFI che dovrebbero essere utilizzati solamente dai produttori e che non sono stati disattivati quando inseriti nel BIOS. Il terzo problema (CVE-2021-3970) consente invece di eseguire codice arbitrario con privilegi elevati. Tutte queste vulnerabilità sono molto pericolose per la sicurezza dei dispositivi dal momento che eventuali minacce vengono eseguite all’inizio del processo di avvio, riuscendo ad aggirare quasi tutte le misure di sicurezza.
Fortunatamente, per sfruttare le vulnerabilità è necessario avere accesso alla macchina, il che significa che possono essere colpiti solamente laptop già compromessi, di cui i malintenzionati hanno il controllo. In ogni caso, Lenovo consiglia a tutti gli utenti di aggiornare la versione del firmware all’ultima disponibile al fine di proteggersi da eventuali attacchi di malintenzionati che potrebbero sfruttare le vulnerabilità scoperte dai ricercatori ESET.