Oltre 100 modelli di notebook Lenovo vulnerabili ad attacchi all'UEFI. Ci sono già le patch

Si chiama "secure boot", o "avvio sicuro", ma nel caso di più di 100 modelli di computer portatili prodotti da Lenovo, un bug fa sì che il nome non corrisponda alla realtà. Sono infatti state scoperte tre vulnerabilità nel firmware UEFI di tali dispositivi che permettono a un attaccante di disabilitare le protezioni del chip di memoria dove è custodito l'UEFI e quindi di disattivare il secure boot. Il risultato finale è la possibilità di eseguire codice con privilegi elevati che non può essere rilevato dalle soluzioni di sicurezza tradizionali.

Oltre 100 modelli di computer Lenovo vulnerabili ad attacchi all'UEFI

I ricercatori di sicurezza di ESET hanno trovato tre vulnerabilità che consentono a un attaccante di installare malware all'interno dell'UEFI e quindi prendere più o meno direttamente il controllo della macchina vittima. All'origine di due delle vulnerabilità sono due driver, appropriatamente chiamati "SecureBackDoor" e "SecureBackDoorPeim". Si tratta di driver usati da Lenovo in fase di produzione e, in teoria, non destinati a rimanere sulle macchine quando queste vengono consegnate ai clienti.

A essere coinvolti sono oltre 100 modelli della gamma Lenovo nella fascia consumer, dagli IdeaPad 3 fino ai Legion 5 Pro e agli Yoga Slim 9. Si tratta di modelli molto popolari, dunque i dispositivi interessati dalle vulnerabilità sono probabilmente nell'ordine dei milioni. Per molti di essi è stato già rilasciato un aggiornamento che risolve i problemi, ma altri invece non riceveranno alcuna correzione poiché arrivati al termine del supporto. ESET aveva comunicato a Lenovo di aver scoperto le vulnerabilità lo scorso ottobre e le due aziende hanno collaborato alla risoluzione del problema.

Dall'analisi tecnica delle vulnerabilità pubblicata da ESET emerge come queste consentano a un attaccante di aggirare le protezioni che impediscono di manomettere l'UEFI e accedere alla modalità di gestione del sistema (System Management Mode, o SMM in breve): si tratta di una modalità di esecuzione del processore che opera nel cosiddetto anello -2, ovvero con un livello di privilegio superiore a quello del sistema operativo; ciò fa sì che non sia possibile rilevare la manomissione dall'OS e che la re-installazione di quest'ultimo non risolva il problema.

Una volta manomesso l'UEFI, l'attaccante può disabilitare il secure boot, aprendo così la porta all'esecuzione di codice arbitrario in fase di avvio: questo è l'elemento chiave, poiché permette di interagire con il sistema operativo e, dunque, comprometterlo.

Il problema di vulnerabilità come queste è che non sono rilevabili dalle soluzioni di sicurezza tradizionali, che non possono nemmeno offrire alcuna protezione contro eventuali attacchi. L'unica soluzione è l'installazione degli aggiornamenti, quando disponibili; in caso contrario, ESET consiglia di usare un chip TPM e una soluzione di crittografia integrale del disco in grado di rendere i dati inaccessibili qualora ci siano cambiamenti nella configurazione dell'UEFI (BitLocker in Windows offre questa possibilità).

L'aspetto interessante della vicenda, dal punto di vista dello scenario, è che sono sempre più le vulnerabilità e, di conseguenza, gli attacchi che riguardano direttamente le varie implementazioni dell'UEFI, proprio perché questo tipo di attacco è difficilmente rilevabile e potenzialmente ad alto impatto e, dunque, è particolarmente appetibile per i cybercriminali.

L'elenco completo dei dispositivi coinvolti è disponibile nell'annuncio ufficiale di Lenovo.