La empresa de ciberseguridad de ESET ha alertado de la detección de un malware en varios modelos de ordenadores portátiles Lenovo. Se han detectado tres vulnerabilidades a través de las cuales los hackers podrían instalar un malware en los dispositivos.
Según la citada compañía, han detectado varios modelos de estos ordenadores gravemente afectados por tres vulnerabilidades. Esto podría suponer que los atacantes podrían instalar un malware en el equipo que resulte prácticamente imposible de eliminar. Las dos primeras vulnerabilidades son CVE-2021-2971 y CVE-2021-3972, que se emplean en el proceso de fabricación de Lenovo. La tercera, CVE-2021-3970, relacionada con la memoria SMM, es la que permite la ejecución del código malicioso, debido a que permite la lectura y la escritura desde y hacia la SMRAM.
Lo que más preocupa sobre esta cuestión pasa por que los hackers se estarían saltando todas las medidas de seguridad e infectando los dispositivos por completo. Esto se debe a que este ataque consiste en instalar el malware en el UEFI del sistema (un software que une el sistema operativo con el firmware del ordenador), por lo que se infecta el pc por completo. Esto es, el UEFI es el primer programa que se ejecuta al encender el dispositivo. Por ello, si lo infectan será imposible aplicar las medidas de seguridad para proteger al ordenador.
El ESET ha explicado que la mayor amenaza del malware es que sus ataques son muy sigilosos y pasan desapercibidos. Además, se ejecutan al principio del proceso de arranque, por lo que tienen la capacidad de evitar “casi todas las medidas de seguridad”.
Lenovo confirmó las citadas vulnerabilidades el pasado 17 de noviembre en más de cien dispositivos. Así pues, podrían verse afectados millones de usuarios por todo el mundo. Entre los modelos están el IdeaPad 3, Legion 5 Pro, Flex 3, L340, y otros más que ha indicado la compañía. Para los usuarios que se hayan visto afectados, los que tengan dispositivos muy antiguos sin soporte, no podrán recibir ninguna actualización. Por el contrario, quienes posean aparatos más modernos deberán dirigirse a la página web de Lenovo, buscar el modelo de su ordenador y acceder a la opción ‘Controladores y software’. Una vez en ese punto, deben hacer clic en ‘BIOS’ y descargar la última versión de su firmware.
