Lenovo ha reconocido la existencia de una vulnerabilidad de seguridad crítica en el firmware de muchas de sus laptops.
Después de dar pistas en su cuenta de Twitter el pasado 29 de junio, el desarrollador Dmytro Oleksiuk, quien se describe a sí mismo como un “hacker poco ético”, publicó hoy detalles de la vulnerabilidad en el sitio GitHub.
Los usuarios han bautizado rápidamente el problema como “ThinkPwn” aunque al parecer se trata de algo común con otros fabricantes de hardware.
De acuerdo con Oleksiuk, la falla afecta a un gran número de modelos ThinkPad de Lenovo de hace varios años. Afirmó haberla verificado en una ThinkPad X220, que se lanzó en 2011, y proporcionó fragmento de código e instrucciones en su publicación de GitHub para que otros puedan detectar la vulnerabilidad en los sistemas a los que tienen acceso.
La falla permite a atacantes remotos deshabilitar la protección de escritura del firmware de un dispositivo y ganar acceso a su System Management Mode (Modo de Administración del Sistema), el cual tiene la intención de ser un ambiente seguro para correr código aprobado en él.
Esto debe hacerse mediante el acceso físico al dispositivo, lo que limita el alcance del ataque. Sin embargo, una vez hecho esto, un atacante puede desactivar de forma remota la función de arranque seguro que se encuentra en la mayoría de los BIOS modernos que verifican la integridad del sistema operativo.
De este modo, los rootkits, es decir, herramientas que sirven para esconder los procesos y archivos, pueden ser introducidos en un sistema comprometido, permitiendo a los atacantes espiarlos y tomar el control desde cualquier parte del mundo.
Lenovo ya emitió un aviso de seguridad inicial, en el que dice que está trabajando en una solución lo más rápidamente posible. La compañía ya trató de ponerse en contacto con el investigador independiente que tiene conocimiento del problema, es decir con Oleksiuk, pero él decidió publicar la información sin ninguna coordinación.
El comunicado también afirma que Lenovo ha identificado las vulnerabilidades de su código del modo de administración del sistema, pero fija la culpa en al menos uno de sus proveedores de BIOS independientes, así como en Intel, que creó la base de código común que trabaja con estas empresas.
Ésta no es la primera vez que ocurre algo así con Lenovo, ya que en el pasado se demostró que envió a las tiendas computadoras con spyware, adware y software inflado de forma intencional.