Os investigadores da ESET descobriram e analisaram três vulnerabilidades que estão a afectar vários modelos de computadores portáteis da Lenov, através da implementação e execução de malware ao nível do firmware UEFI, na forma de implantes flash SPI, como o LoJax, ou implantes ESP, como o ESPecter.
Designadas de CVE-2021-3970, CVE-2021-3971, CVE-2021-3972, as duas primeiras tratam-se de backdoors “seguras” integradas no firmware UEFI dos equipamentos, que podem ser activadas para desligar as protecções flash SPI, ou a funcionalidade UEFI Secure Boot a partir de um processo privilegiado em modo de utilizador, durante o tempo de funcionamento do sistema operativo.
Já a terceira vulnerabilidade permite a leitura e escrita arbitrária de (e para) SMRAM (System Management RAM), que pode levar à execução de código malicioso com privilégios SMM (System Management Mode), e potencialmente levar à implementação de um implante flash SPI.
A ESET reportou todas as descobertas à Lenovo, em Outubro de 2021, tendo sido determinado que a lista de dispositivos afectados ascende a mais de 100 modelos de portáteis com configurações distintas, o que por sua vez colocam em risco milhões de utilizadores em todo o mundo.
A Lenovo confirmou a presença destas vulnerabilidades a 17 de Novenbro, tendo criado uma lista com os dispositivos afectados, com modelos como os IdeaPad 3, Legion 5 Pro e Yoga Slim 7 Pro, onde são indicados os procedimentos para a actualização do firmware de cada modelo afectado. Para mais informações técnicas sobre estas vulnerabilidades, poderá consultar o WeLiveSecurity da ESET relativamente a este caso.