ESET ha scoperto tre pericolose vulnerabilità nei computer portatili Lenovo.
Le tre falle di sicurezza UEFI sono state assegnate con i nomi, CVE-2021-3970, CVE-2021-3971, e CVE-2021-3972 sono state segnalate a Lenovo l’11 ottobre 2021 e la società ha rilasciato le patch per i dispositivi interessati, dopo la divulgazione completa in aprile.
La prima falla permetteva agli aggressori l’accesso locale ad un sistema con privilegi elevati, a causa di, “Una potenziale vulnerabilità in LenovoVariable SMI Handler a causa di una convalida insufficiente in alcuni modelli di notebook Lenovo.“
La seconda falla era il risultato di driver obsoleti, che Lenovo ha utilizzato durante la fase di produzione ma li ha inclusi nel BIOS del sistema, per errore. Questo ancora una volta ha permesso agli aggressori un accesso locale di alto livello a un sistema, permettendo loro di modificare la regione di protezione del firmware.
Lenovo accidentalmente non è riuscita a disattivare i primi driver della fase di produzione, che hanno permesso agli aggressori di modificare le impostazioni di avvio sicuro di un sistema.
Martin Smolar, un ricercatore di ESET, ha detto che “Abbiamo segnalato tutte le vulnerabilità scoperte a Lenovo l’11 ottobre 2021. Complessivamente, l’elenco dei dispositivi colpiti contiene più di cento diversi modelli di laptop consumer con milioni di utenti in tutto il mondo, dai modelli economici come Ideapad-3 a quelli più avanzati come Legion 5 Pro-16ACH6 H o Yoga Slim 9-14ITL05.”
