Los equipos de seguridad de Lenovo anunciaron la detección de tres vulnerabilidades que afectan el BIOS de aproximadamente 60 modelos de laptops y notebooks. En su aviso, la compañía asegura estar trabajando para lanzar actualizaciones de BIOS para más de 32 modelos ThinkPad y que espera comenzar a implementar los parches el 28 de julio.
La primera de estas fallas fue identificada como CVE-2021-3452 y reside en los modelos ThinkPad, específicamente en la función de devolución de llamada SMI de apagado del sistema y podría ser explotada por un actor de amenazas local para ejecutar código arbitrario.
Por otra parte, cinco modelos de ThinkPad que no se ven afectados por esta vulnerabilidad son impactados por CVE-2021-3453, un error que existe debido a que los módulos BIOS no están protegidos por Intel Boot Guard. Un actor de amenazas con acceso físico a los dispositivos afectados podría escribir en el almacenamiento flash SPI.
Lenovo ya lanzó múltiples actualizaciones de BIOS para los dispositivos ThinkPad afectados, aunque sus equipos de seguridad siguen trabajando en los parches de seguridad para 13 modelos de laptops vulnerables. Las fallas que no se han abordado también afectan a los equipos de escritorio de la serie ideacentre, que podrían ser actualizados hasta finales de septiembre.
Finalmente, la tercera vulnerabilidad fue identificada como CVE-2021-3614 y afecta solo a los modelos de laptops Lenovo. La explotación de esta falla podría permitir a los hackers maliciosos locales realizar un ataque de escalada de privilegios en circunstancias determinadas y durante una actualización de BIOS.
Esta falla reside en al menos 21 modelos de laptops, aunque hasta el momento solo se han lanzado actualizaciones para abordar las fallas en dos de estos equipos. Lenovo había anunciado el lanzamiento de una actualización para un tercer equipo vulnerable, aunque dicha actualización sigue sin estar disponible.
Por seguridad, se recomienda a los usuarios mantenerse al tanto de cualquier nueva actualización lanzada por Lenovo, además de visitar las plataformas oficiales de la compañía para encontrar información detallada de estas fallas.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
