Lenovo lanzó recientemente un nuevo aviso de seguridad que contiene 4 nuevas vulnerabilidades relacionadas con el BIOS . Los atacantes pueden explotar estas vulnerabilidades para permitir la escalada de privilegios, la denegación de servicio o la divulgación de información.
Rastreado como CVE-2022-40137 y que afecta a los modelos Lenovo Desktop, Desktop AIO, Smart Edge, Smart Office, ThinkStation y ThinkSystem, el primero de las vulnerabilidades afecta la función WMI SMI Handler y podría ser abusado por un atacante con acceso local y elevado. privilegios para ejecutar código arbitrario.
Registrados como CVE-2022-40134, CVE-2022-40135 y CVE-2022-40136, las tres vulnerabilidades se relacionan con otra de fuga de información que Lenovo describió como conducentes a una escalada de privilegios para leer la memoria SMM en los sistemas afectados.
Las vulnerabilidades existen en SMI Set BIOS Password SMI Handler, Smart USB Protection SMI Handler y SMI Handler utilizados para configurar los ajustes de la plataforma a través de WMI en algunos modelos de Lenovo.
Lenovo solucionó cuatro vulnerabilidades esta vez, CVE-2022-40137 tiene la mayor gravedad.
Las amenazas UEFI (BIOS) pueden ser extremadamente sigilosas y peligrosas. Se ejecutan temprano en el proceso de arranque, antes de transferir el control al sistema operativo, lo que significa que pueden eludir casi todas las medidas de seguridad y mitigaciones más altas en la pila que podrían evitar que se ejecuten las cargas útiles de su sistema operativo.
Se recomienda encarecidamente a los usuarios de dispositivos afectados que actualicen su firmware a la última versión para mitigar posibles amenazas.
Es especialista en ciberseguridad con más de 16 años de experiencia en seguridad de la información. Conoce muy bien la inteligencia de amenazas, la gestión de riesgos, la evaluación de vulnerabilidades y las pruebas de penetración, el análisis forense cibernético y la tecnología de seguridad en la nube (AWS, Azure, Google Cloud). Ocupó varios puestos de investigador de ciberseguridad en diferentes empresas. Tiene experiencia en diferentes industrias como finanzas, atención médica, marketing, gobierno, finanzas turísticas, aerolíneas, telecomunicaciones y biometría.
