Acer solucionó una vulnerabilidad de alta gravedad que afectaba a varios modelos de portátiles y que podría permitir a los atacantes locales desactivar UEFI Secure Boot en los sistemas objetivo.
La función de seguridad Secure Boot bloquea los cargadores de arranque de sistemas operativos que no son de confianza en computadoras con un chip Trusted Platform Module (TPM) y firmware de interfaz de firmware extensible unificada (UEFI) para evitar que se carguen códigos maliciosos como rootkits y bootkits durante el proceso de inicio.
Informado por el investigador de malware de ESET, Martin Smolar , se descubrió la falla de seguridad ( CVE-2022-4020 ) en el controlador HQSwSmiDxe DXE en algunos dispositivos portátiles Acer de consumo.
Los atacantes con altos privilegios pueden abusar de él en ataques de baja complejidad que no requieren la interacción del usuario para alterar la configuración de arranque seguro de UEFI modificando la variable NVRAM BootOrderSecureBootDisable para desactivar el arranque seguro.
«Los investigadores han identificado una vulnerabilidad que puede permitir cambios en la configuración de arranque seguro mediante la creación de variables NVRAM (el valor real de la variable no es importante, solo los controladores de firmware afectados verifican la existencia)», dijo Acer .
Después de explotar la vulnerabilidad en las computadoras portátiles Acer afectadas y desactivar el Arranque seguro, los actores de amenazas pueden secuestrar el proceso de carga del sistema operativo y cargar cargadores de arranque sin firmar para eludir o desactivar las protecciones e implementar cargas útiles maliciosas con privilegios del sistema.
La lista completa de modelos de portátiles Acer afectados incluye Acer Aspire A315-22, A115-21, A315-22G, Extensa EX215-21 y EX215-21G.
Actualización de BIOS disponible, actualización de Windows entrante
«Acer recomienda actualizar su BIOS a la última versión para resolver este problema. Esta actualización se incluirá como una actualización crítica de Windows», agregó la compañía.
Como alternativa, los clientes pueden descargar la actualización del BIOS desde el sitio web de soporte de la empresa e implementarla manualmente en los sistemas afectados.
Lenovo corrigió errores similares encontrados por los investigadores de ESET en varios modelos de portátiles ThinkBook, IdeaPad y Yoga a principios de este mes que podrían permitir a los atacantes desactivar UEFI Secure Boot.
Permitir que los actores de amenazas ejecuten código malicioso sin firmar antes del arranque del sistema operativo puede tener graves consecuencias, incluida la implementación de malware que puede persistir entre las reinstalaciones del sistema operativo y eludir las protecciones antimalware proporcionadas por las soluciones de seguridad.
En el caso de Lenovo, el problema fue causado por los desarrolladores de la compañía que incluyeron un controlador de desarrollo temprano en los controladores de producción que podía cambiar la configuración de arranque seguro desde el sistema operativo.
En enero, ESET encontró otras tres fallas de firmware UEFI que podrían permitir a los atacantes secuestrar la rutina de inicio en más de 70 modelos de dispositivos Lenovo que ejecutan Windows.
Fuente y redacción: bleepingcomputer.com