Lenovo (e i suoi clienti) in guai seri: oltre settanta portatile a forte rischio vulnerabilità

Che gli hacker siano un problema, numeri alla mano da due anni a questa parte elevato all’ennesima potenza, si sapeva. Non è certo una novità. Ma sapere che oltre 70 laptop di un unico produttore siano a rischio vulnerabilità, getta un po’ nello sconforto. Soprattutto gli utenti Lenovo.

E’ stata proprio la multinazionale cinese con sedi a Pechino, ma anche a Morrisville (negli Stati Uniti), a rilevare questa cifra spaventosa. Settanta modelli e un minimo comun denominatore: un bug denominato UEFI/BIOS che potrebbe comportare l’esecuzione arbitraria di codice in un avviso di sicurezza. Non di poco conto.

Tre vulnerabilità di buffer overflow sono state rilevate dai ricercatori della società di sicurezza informatica ESET, annunciate peraltro via social, su Twitter. In questi cinguettii si evince chiaramente che il difetto in questione può essere utilizzato per eseguire codice arbitrario durante il processo di avvio della piattaforma, offrendo ai cyber-criminali la possibilità di controllare il flusso di esecuzione del sistema operativo, disabilitando i principali meccanismi di sicurezza.

Aggiornare il firmware con l’ultima patch è un imperativo categorico

“La convalida insufficiente del parametro DataSize fornito al metodo GetVariable di UEFI Runtime Services è stata la causa principale di queste vulnerabilità – posta ESET -. Una variabile NVRAM costruita in modo particolare potrebbe essere creata da un utente malintenzionato, causando un overflow del buffer del buffer di dati nella seconda chiamata a GetVariable“.

Lenovo prova a tranquillizzare tutti, asserendo che ha recentemente corretto diverse vulnerabilità di sicurezza nel suo firmware UEFI. In particolare, hanno corretto tre diversi bug nel firmware che elude la sicurezza di oltre 70 modelli di laptop Lenovo. Questi bug includono, CVE-2022-1890: vulnerabilità di overflow del buffer nel driver ReadyBootDxe. Sfruttare il bug potrebbe consentire a un avversario di ottenere privilegi elevati ed eseguire codici arbitrari sui sistemi di destinazione. CVE-2022-1891: vulnerabilità di overflow del buffer nel driver SystemLoadDefaultDxe.

Lo sfruttamento di questo bug potrebbe portare all’escalation dei privilegi locali, consentendo a un utente malintenzionato di eseguire codice arbitrario. CVE-2022-1892: un’altra vulnerabilità di overflow del buffer. Questo bug ha interessato il driver SystemBootManagerDxe, consentendo l’escalation dei privilegi locali e la successiva esecuzione di codice a un avversario.

L’elenco dettagliato degli oltre settanta modelli è stato rivelato direttamente dall’azienda cinese: ci sono perfino numerosi laptop delle serie Lenovo Flex, IdeaPad, ThinkBook, Yoga e Yoga Slim. Gli utenti possono consultare l’avviso per sapere se i rispettivi modelli di dispositivi sono menzionati nell’elenco ufficiale, presente sul portale ufficiale. Aggiornare il firmware del proprio dispositivo con l’ultima patch è un imperativo categorico.