Falha crítica é encontrada em PCs da Lenovo e pode afetar outras fabricantes
A Lenovo reconheceu a existência de uma vulnerabilidade zero-day em laptops ThinkPad, permitindo a um invasor rodar código com privilégios altos numa área que normalmente só pode ser acessada pelo CPU.
A falha ThinkPwn foi divulgada esta semana pelo pesquisador Dmytro Oleksiuk; ele não informou a Lenovo antes. Com ela, é possível desativar um recurso de segurança usado pelo Windows chamado Inicialização Segura (Secure Boot).
Ele serve “para garantir que o computador inicialize usando apenas o software de confiança do fabricante”, segundo a Microsoft. Sem isto, o PC fica vulnerável a rootkits, projetados para rodarem escondidos enquanto mantêm controle contínuo e acesso privilegiado.
O UEFI foi concebido como um substituto para a BIOS tradicional. A ideia é padronizar o firmware, mas as implementações variam entre uma fabricante e outra. De acordo com a Lenovo, a falha não estava no código UEFI dela, e sim na implementação fornecida à empresa.
A Lenovo explica em comunicado:
Fornecedoras independentes de BIOS (IBVs) são empresas de desenvolvimento de software que se especializam em firmwares personalizados de BIOS que são inseridos em PCs de fabricantes, incluindo a Lenovo.
Seguindo a prática padrão da indústria, IBVs começam com a base de código comum criada por fabricantes de processadores, como a Intel ou AMD, e adicionam camadas adicionais de código que é projetado especificamente para funcionar com um computador específico.
A Lenovo atualmente trabalha com as três maiores IBVs da indústria. O pacote de código com a vulnerabilidade SMM foi desenvolvido em cima de uma base de código comum fornecida à IBV pela Intel.
Ou seja, a Lenovo se exime da culpa, mas aponta para dois fatos preocupantes: primeiro, a empresa que criou o código falho trabalha com outras fabricantes – então a vulnerabilidade pode estar em PCs de outras marcas também. Pelo menos uma pessoa conseguiu encontrá-la em um laptop da HP. Além disso, a falha atualmente não tem conserto.
Oleksiuk conseguiu acessar a brecha através de um pendrive USB, mas diz que é possível explorar a vulnerabilidade dentro do sistema operacional com um pouco mais de esforço. Segundo ele, a vulnerabilidade existia no código de referência da Intel para placas-mãe Série 8 (dos processadores Haswell), e foi consertada em algum momento em 2014.
Segundo Oleksiuk, estes laptops da linha ThinkPad são afetados:
T440, T440p, T440s, T440u, T450, T450s, T540, T540p, T550, W540, W541, W550s, X1 Carbon (20Ax e 20Bx), X240, X240s, X250 e Yoga 15 / S5 Yoga
Não é a primeira vez que a Lenovo está envolvida em problemas de segurança. No ano passado, um adware chamado Superfish foi descoberto em alguns de seus laptops, sequestrando certificados de segurança do navegador. Em seguida, descobriu-se que a empresa instalava crapware usando a BIOS, tornando o software difícil de remover.
A Lenovo avisa que está trabalhando com fornecedores de BIOS e com a Intel para investigar o caso.
Foto por Acid Pix/Flickr