Lenovo comete un error y deja a 25 portátiles vulnerables a ataques
Muchas veces hemos ido hablando de como los hackers se aprovechan de las brechas de seguridad en el software para tener acceso a tus datos. En el mundo de los ordenadores, las brechas de seguridad no son algo relativamente nuevo y según pasa el tiempo, aparecen más y más cibercriminales que pueden aprovecharse de estas. Ahora es el turno de Lenovo, la cual ha visto como un problema en sus drivers supone un gran riesgo para la seguridad de sus usuarios, afectando a 25 modelos de portátiles de la marca.
Tener nuestro portátil con las últimas actualizaciones de seguridad suele ser suficiente para que evitemos la mayoría de peligros mientras no hagamos nada que pueda poner en peligro a esta. Sin embargo, todo esto a veces es insuficiente cuando la culpa reside en unos nuevos controladores que son la causa del problema. Esto es lo que ha ocurrido con los drivers de Lenovo que se instalan en más de una decena de sus portátiles, haciendo que estos sean vulnerables a ataques.
Los portátiles Lenovo ThinkPad, IdeaPad y Yoga ven peligrar su seguridad
Las últimas actualizaciones de controladores de Lenovo han traído consigo mismas un total de tres vulnerabilidades de seguridad. Estas afectarían a más de dos docenas de portátiles de la marca, incluyendo modelos de ThinkPad, Yoga e IdeaPad. Con esta mala noticia, los usuarios afectados estarían ante un peligro catalogado como grave. Este problema se ha identificado gracias a los investigadores de la empresa de seguridad ESET, conocida por el antivirus NOD32. Tal y como han publicado en Twitter, hablamos de un total de 3 vulnerabilidades que afectan al firmware UEFI de los portátiles Lenovo.
Estas son consideradas un peligro por el hecho de que el atacante puede deshabilitar el proceso de arranque seguro, ejecutar aplicaciones UEFI no firmadas o cargar bootloaders que abren una puerta trasera en el dispositivo de forma permanente. Incluso reinstalando el sistema operativo no lograremos nada, ya que la inyección de malware en la UEFI simplemente se reactivará de nuevo. Las tres vulnerabilidades que suponen un problema para la seguridad de los portátiles Lenovo serían:
CVE-2022-3430: Vulnerabilidad en el controlador WMI Setup en algunos portátiles Lenovo puede permitir a un atacante con privilegios elevados modificar la configuración de arranque seguro cambiando una variable NVRAM.
CVE-2022-3431: Vulnerabilidad en un controlador utilizado durante el proceso de fabricación en algunos dispositivos Lenovo. Esta no se desactivó por error y por ello y permite que un atacante con privilegios elevados modifique la configuración de arranque seguro.
CVE-2022-3432: Una posible vulnerabilidad en un controlador utilizado durante el proceso de fabricación en el IdeaPad Y700-14ISK que no fue desactivado por error puede permitir a un atacante con privilegios elevados modificar la configuración de arranque seguro ajustando una variable de la NVRAM.
Lenovo ha lanzado un parche para los portátiles afectados, excepto uno
Podemos decir que Lenovo ha estado atenta a la situación y ha actuado con rapidez. Esto es algo de agradecer con un problema de magnitud grave como este, que además afecta a varios sus portátiles. Adicionalmente, hay que decir que fue error de Lenovo, pues si leemos la vulnerabilidad acabada en 3431, el problema de seguridad estaba en un controlador que no se había desactivado en portátiles desde su fabricación. Dicho esto, Lenovo ha publicado ya parches y mitigaciones para las dos primeras vulnerabilidades, arreglando los problemas de todos los portátiles menos uno de ellos.
Y es que, según podemos ver, no van a solventar el problema de seguridad que afecta al portátil IdeaPad Y700-14ISK. Esto se debe, a que este ha alcanzado el fin de su vida útil y ya no recibirá más soporte por parte de la compañía. Así pues, aquí Lenovo abandona a todos aquellos que usuarios que poseen este portátil y están afectados. Eso sí, aconseja a los usuarios que se aseguren de navegar de forma segura y básicamente que se encarguen ellos de la seguridad.