Ricercatori di sicurezza hanno individuato nuove falle nei computer portatili Lenovo, solo pochi mesi dopo che il produttore ha applicato una serie di patch ai suoi prodotti.
Il produttore di PC ha ora risolto il trio di bug, segnalati da ESET questa settimana. Più di 70 modelli sono stati colpiti da quest’ultimo problema, compresi alcuni dispositivi ThinkBook. Le vulnerabilità segnalate erano buffer overflow nel firmware UEFI.
“Le vulnerabilità“, spiega il team di ricerca di ESET, “possono essere sfruttate per ottenere l’esecuzione di codice arbitrario nelle prime fasi di avvio della piattaforma, consentendo eventualmente agli aggressori di dirottare il flusso di esecuzione del sistema operativo e di disabilitare alcune importanti funzioni di sicurezza“.
“Si tratta di una tipica vulnerabilità UEFI ‘double GetVariable‘”, ha aggiunto il team, prima di dare un suggerimento a efiXplorer.
Lenovo ha pubblicato questa settimana un avviso sulla questione: gli identificativi CVE sono CVE-2022-1890, CVE-2022-1891, CVE-2022-1892. Tutti sono correlati a buffer overflow e comportano il rischio che un aggressore con privilegi locali sia in grado di eseguire codice arbitrario. La loro gravità è stata classificata come media.
Per quanto riguarda la mitigazione, l’aggiornamento del firmware è praticamente tutto ciò che i clienti possono fare, anche se non tutti i prodotti sono affetti da tutte e tre le vulnerabilità. Tutti i prodotti, tuttavia, sembrano essere colpiti da CVE-2022-1892, un buffer overflow nel driver SystemBootManagerDxe.
La rivelazione segue altre tre vulnerabilità patchate in aprile, anch’esse riguardanti l’UEFI sui kit Lenovo.
L’UEFI, o Unified Extensible Firmware Interface, è il collante che collega il firmware di un dispositivo con il sistema operativo.
Una vulnerabilità potrebbe essere sfruttata prima che il dispositivo abbia la possibilità di avviare il sistema operativo e di attivare le protezioni contro il malware, consentendo al computer di essere profondamente infettato e compromesso.
