A Lenovo reconheceu a existência de uma vulnerabilidade zero-day em laptops ThinkPad, permitindo a um invasor rodar código com privilégios altos numa área que normalmente só pode ser acessada pelo CPU.

A falha ThinkPwn foi divulgada esta semana pelo pesquisador Dmytro Oleksiuk; ele não informou a Lenovo antes. Com ela, é possível desativar um recurso de segurança usado pelo Windows chamado Inicialização Segura (Secure Boot).

Ele serve “para garantir que o computador inicialize usando apenas o software de confiança do fabricante”, segundo a Microsoft. Sem isto, o PC fica vulnerável a rootkits, projetados para rodarem escondidos enquanto mantêm controle contínuo e acesso privilegiado.

O UEFI foi concebido como um substituto para a BIOS tradicional. A ideia é padronizar o firmware, mas as implementações variam entre uma fabricante e outra. De acordo com a Lenovo, a falha não estava no código UEFI dela, e sim na implementação fornecida à empresa.

A Lenovo explica em comunicado:

Fornecedoras independentes de BIOS (IBVs) são empresas de desenvolvimento de software que se especializam em firmwares personalizados de BIOS que são inseridos em PCs de fabricantes, incluindo a Lenovo.

Seguindo a prática padrão da indústria, IBVs começam com a base de código comum criada por fabricantes de processadores, como a Intel ou AMD, e adicionam camadas adicionais de código que é projetado especificamente para funcionar com um computador específico.

A Lenovo atualmente trabalha com as três maiores IBVs da indústria. O pacote de código com a vulnerabilidade SMM foi desenvolvido em cima de uma base de código comum fornecida à IBV pela Intel.

Ou seja, a Lenovo se exime da culpa, mas aponta para dois fatos preocupantes: primeiro, a empresa que criou o código falho trabalha com outras fabricantes – então a vulnerabilidade pode estar em PCs de outras marcas também. Pelo menos uma pessoa conseguiu encontrá-la em um laptop da HP. Além disso, a falha atualmente não tem conserto.

Oleksiuk conseguiu acessar a brecha através de um pendrive USB, mas diz que é possível explorar a vulnerabilidade dentro do sistema operacional com um pouco mais de esforço. Segundo ele, a vulnerabilidade existia no código de referência da Intel para placas-mãe Série 8 (dos processadores Haswell), e foi consertada em algum momento em 2014.

Segundo Oleksiuk, estes laptops da linha ThinkPad são afetados:

T440, T440p, T440s, T440u, T450, T450s, T540, T540p, T550, W540, W541, W550s, X1 Carbon (20Ax e 20Bx), X240, X240s, X250 e Yoga 15 / S5 Yoga

Não é a primeira vez que a Lenovo está envolvida em problemas de segurança. No ano passado, um adware chamado Superfish foi descoberto em alguns de seus laptops, sequestrando certificados de segurança do navegador. Em seguida, descobriu-se que a empresa instalava crapware usando a BIOS, tornando o software difícil de remover.

A Lenovo avisa que está trabalhando com fornecedores de BIOS e com a Intel para investigar o caso.

[Lenovo e GitHub via PCWorld]

Foto por Acid Pix/Flickr