vulnerabilidades que afetam pelo menos 100 modelos de notebooks Lenovo podem colocar em risco milhões de usuários de notebooks Lenovo em todo o mundo. Os problemas estão no firmware UEFI de aparelhos e pode facilitar a instalação de malwareconforme anunciado pela ESET nesta terça-feira (19).
Pesquisadores da empresa de segurança cibernética descobriram as três vulnerabilidades no BIOS em outubro do ano passado. Dois deles — CVE-2021-3971 e CVE-2021-3972 — podem ser usados por cibercriminosos para desabilitar as proteções ou funcionalidades do flash SPI. Inicialização segura UEFI nos laptops afetados.
O terceiro — CVE-2021-3970 — consiste em uma corrupção de memória SMM dentro da função do manipulador SW SMI. Segundo especialistas, permite a execução de código malicioso com privilégios elevados ao ser explorado localmente por um invasor.
As falhas descobertas podem fornecer ataques difíceis de detectar.Fonte: Shutterstock
O relatório afirma que o ataques direcionados ao firmware UEFI eles são “extremamente furtivos e perigosos”, pois são executados nos estágios iniciais do processo de inicialização e são difíceis de detectar. Dessa forma, as ameaças podem contornar “quase todas as medidas superiores de segurança e mitigação que contribuem para a prevenção de ataques”.
Corrigindo as falhas
Como Vulnerabilidades UEFI do notebook Lenovo já foram corrigidos, através de patches de segurança que acabam de ser lançados pela gigante chinesa. Mas para se proteger de possíveis ataques, você precisa instalar as atualizações disponíveis na página de suporte da marca.
No mesmo site, você pode conferir a lista de modelos de notebooks afetados pelos bugs, que inclui séries como IdeaPad 3, Jogos IdeaPad 3, Legião 5 e Ioga Inteligente, entre outros. A Atualização de Firmware pode ser feito manualmente ou com a ajuda de ferramentas de gerenciamento de atualização fornecidas pela Lenovo.
Deve-se notar que alguns modelos mais antigos também foram afetados, mas como não são suportados, ficarão sem acesso à correção.
Última atualização em 27 de agosto de 2022
