Exploit en Lenovo Thinkpads, capaz de saltar las defensas de Windows

Una vulnerabilidad encontrada en el driver UEFI de algunos Lenovo ThinkPad permite a los hackers hacer un bypass de las capacidades de defensa de Windows, además de saltarse la protección de escritura en memoria flash.

Como ha revelado recientemente Dmytro Oleksiuk (investigador de seguridad) un nuevo tipo de Exploit Zero Day que afecta a ThinkPads de la marca Lenovo podría deshabilitar la protección de memoria Flash, permitiendo así al atcante ejecutar scripts en Modo Administración de Sistema.

Utilizando este modo con privilegios -normalmente reservado para la CPU- un delincuente podría ejecutar scripts, con el objeto de inhabilitar SecureBoot, un protocolo que verifica que el bootloader o cargador de arranque de Windows no ha sido contaminado con rootkits.

Exploit en Lenovo Thinkpads compromete la seguridad de Windows

Desde ahí, las armas de defensa de Windows, como protección de Credenciales (una característica para proteger las credenciales de dominios corporativos) podría ser desactivada.

Lenovo afirma que el exploit no afecta a su propio código, sino al de un desarrollador independiente de BIOS (IBV). De acuerdo a Oleksiuk esto significa, con un 100% de seguridad, que «hay otros OEM con vulnerabilidades similares en sus productos» y esto tendría consecuencias en la industria.

Esta vulnerabilidad parece estar presente en el código de referencia de Intel para su serie de chipsets «8», pero ya fué corregido en 2014.

Los efectos ya se dejan sentir

Dejando claro que intentaron ponerse en contacto con el investigador para cooperar con él (antes de que el exploit fuera comunicado mediante las redes) Lenovo comenta que han emprendido su propia investigación, aunque de momento no harán nada público. Ofrecerán una solución en cuanto sea posible.

La vulnerabilidad actualmente necesita de acceso físico al dispositivo para prosperar, pero el mismo investigador afirma en Github que podría ser refinado de forma tal, que finalmente superase el obstáculo de la cercanía al dispositivo.

El investigador también confirma que uno de sus seguidores en Twitter ha tenido éxito al replicar este exploit Zero Day sobre un portátil de la marca HP, modelo Pavilion.

Las implicaciones de esta vulnerabilidad (y el número de posibles afectados) no está definido por el momento. Por ahora, los usuarios deberían esperar al hotfix sin tomar acciones drásticas, ya que otras técnicas similares han estado persistiendo incluso tras el borrado seguro de unidades de disco.

No olvidéis poneros al día en la página de notificaciones de seguridad de Lenovo.