Más de 100 modelos de portátiles Lenovo afectados por las vulnerabilidades de la BIOS UEFI
La empresa de seguridad en Internet ESET identificó recientemente una serie de UEFI BIOS que afectan a más de 100 modelos de portátiles Lenovo. Según la estimación de Lenovo, más de un millón de dispositivos están afectados y necesitan recibir un parche inmediatamente, ya que los avanzados hackers podrían añadir código de firmware malicioso difícil de eliminar e incluso indetectable.
Estas son las tres vulnerabilidades con una breve descripción de Lenovo
- CVE-2021-3970 - una potencial vulnerabilidad con el LenovoVariable SMI Handler debido a una validación insuficiente en algunos modelos de portátiles Lenovo, podría permitir a un atacante con acceso local y privilegios elevados ejecutar código arbitrario.
- CVE-2021-3971 - una potencial vulnerabilidad habilitada por un controlador utilizado durante procesos de fabricación antiguos en algunos dispositivos Lenovo Notebook de consumo que se incluyó por error en la imagen de la BIOS, podría permitir a un atacante con privilegios elevados modificar la región de protección del firmware mediante la modificación de una variable NVRAM.
- CVE-2021-3972: una posible vulnerabilidad activada por un controlador utilizado durante el proceso de fabricación en algunos dispositivos portátiles Lenovo de consumo que no se desactivó por error, podría permitir a un atacante con privilegios elevados modificar la configuración de arranque seguro mediante la modificación de una variable de la NVRAM.
Ars Technica explica que los hackers pueden explotar este tipo de vulnerabilidades para desactivar las protecciones, incluyendo el arranque seguro UEFI, los bits del registro de control de la BIOS y el registro de rango protegido, que están incorporados en la interfaz periférica serie (SPI) y diseñados para evitar cambios no autorizados en el firmware que ejecuta. Aunque los ataques sólo pueden ser desencadenados por "hackers avanzados", la derivación de la SPI por sí sola es suficiente para elevar la gravedad de la amenaza a media.
Lenovo proporciona una lista de los modelos afectados. La mayoría de ellos ya tienen parches listos para ser instalados, pero algunos modelos no recibirán la corrección hasta el 10 de mayo.
Fuente(s)
Top 10 Análisis
» Top 10 Portátiles Multimedia
» Top 10 Portátiles de Juego
» Top 10 Portátiles de Juego ligeros
» Top 10 Portátiles Asequibles de Oficina/Empresa
» Top 10 Portátiles de Juego Ligeros
» Top 10 Portátiles de Oficina/Empresa Premium
» Top 10 Estaciones de Trabajo
» Top 10 Subportátiles
» Top 10 Ultrabooks
» Top 10 Convertibles
» Top 10 Tablets
» Top 10 Tablets Windows
» Top 10 Tablets de menos de 250 Euros
» Top 10 Phablets (>5.5")
» Top 10 Smartphones
» Top 10 Smartphones (≤5")
» Top 10 Smartphones de menos de 300 Euros
» Top 10 Smartphones de menos de 120 Euros
» Top 10 Portátiles de menos de 1000 Euros
» Top 10 Portátiles de menos de 500 Euros
» Top 10 Portátiles de menos de 300 Euros
» Los Mejores Displays de Portátiles Analizados por Notebookcheck