Localizată în firmware-ul UEFI livrat de producător, vulnerabilitatea regăsită pe foarte multe modele de de laptopuri și PC-uri Lenovo face posibile atacuri cu malware nedetectabil și aproape imposibil de îndepărtat. În toată această poveste există și o veste bună, însă condiția este ca sistemele PC și laptopurile să fie cumpărate din magazine de încredere.
Spre deosebire de vechiul BIOS regăsit pe PC-uri de acum un deceniu, firmware-ul UEFI este mult mai sofisticat, apărând ca un mini-sistem de operare găzduit pe un chip de memorie Flash lipit pe placa de bază. Complet invizibil față de OS-ul principal (ex. Windows), firmware-ul UEFI este responsabil cu gestionarea diferitelor componente ale PC-ului și are acces practic nelimitat asupra părții de hardware. Astfel, compromiterea sa prin infiltrarea de elemente malware poate avea efecte devastatoare, hackerii care folosesc acest vector de atac obținând acces asupra dispozitivului într-un mod nedetectabil și foarte dificil de remediat, ulterior, scrie go4it.ro.
Practic, reinstalarea de la zero a sistemului de operare nu rezolvă problema, din moment ce infectarea este localizată într-un chip de memorie separat, în mod normal accesibil pentru scriere doar cu ajutorul unor unelte software specializate, folosite de Lenovo în timpul fabricării echipamentelor respective.
Denumite CVE-2021-3971 și CVE-2021-3972, cele două vulnerabilități sunt localizate în drivere Lenovo incluse accidental cu firmware-ul UEFI oficial. În mod normal, inginerii Lenovo ar fi trebuit să dezactiveze funcția de rescriere UEFI pe dispozitivele livrate consumatorilor, această comandă utilă în testarea de pre-producție reprezentând practic o invitație pentru hackeri.
Spre exemplu, un eventual atacator poate folosi această vulnerabilitate pentru a neutraliza mecanisme esențiale de securitate, cum ar fi UEFI Secure Boot, permițând încărcarea de malware care să ruleze în spațiul de memorie protejată a sistemului de operare. Nu în ultimul rând, hackerii pot face ceea ce Lenovo a uitat, respectiv, să dezactiveze funcția de rescriere UEFI, împiedicând restabilirea firmware-ului original pentru neutralizarea malware-ului deja infiltrat.
Singura modalitate de închidere a acestei vulnerabilități este aplicarea actualizărilor de firmware deja puse la dispoziție de Lenovo. Vestea bună este că, pentru exploatarea acestor vulnerabilități, este nevoie ca atacatorul să aibă fizic acces asupra dispozitivului, fapt ce exclude posibilitatea „colectării” unui astfel de virus în folosirea de zi cu zi a echipamentului. În schimb, atenție sporită trebuie acordată sursei de unde laptopul sau PC-ul Lenovo este procurat, echipamentele astfel compromise fiind greu de descoperit ulterior.
