Diversi modelli di PC prodotti da Lenovo, facenti parte delle linee Desktop, All in One, IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation e ThinkSystem, hanno da poco ricevuto un aggiornamento BIOS al fine di risolvere diverse di criticità di sicurezza. Queste includevano falle che avrebbero consentito ai malintenzionati di scalare i privilegi di sistema, per avere accesso ai dati personali ed eseguire anche codice malevolo.
I correttivi comprendono delle patch alle falle SMM (System Management Mode), una parte del firmware UEFI che consente di gestire funzionalità hardware di base e l'alimentazione di sistema. Una violazione all'SMM permetterebbe di accedere al sistema operativo, alla RAM e alle risorse di archiviazione, motivo per cui Intel e AMD hanno sviluppato dei sistemi che isolano questo componente, al fine di proteggere i dati personali degli utenti da attacchi informatici di basso livello.
Di seguito l'elenco di vulnerabilità riportate nell'avviso di sicurezza emesso da Lenovo:
- CVE-2021-28216: corretto un errore al puntatore del BIOS TianoCore EDK II, che avrebbe consentito l'esecuzione di codice malevolo e l'escalation dei privilegi di sistema.
- CVE-2022-40134: corretta una falla relativa all'handler SMI per l'impostazione di una password del BIOS, con cui sarebbe stato possibile leggere dati dalla memoria SMM.
- CVE-2022-40135: corretta una falla di vulnerabilità riguardante l'handler SMI della funzione Smart USB Protection, che avrebbe permesso di leggere la memoria SMM.
- CVE-2022-40136: corretta una vulnerabilità relativa all'handler SMI utilizzato per la configurazione delle impostazioni della piattaforma WMI (Windows Management Instrumentation), con cui sarebbe stato possibile leggere i dati della memoria SMM.
- CVE-2022-40137: overflow del buffer nell'handler SMI WMI, che avrebbe consentito l'esecuzione di codice arbitrario.
- Miglioramenti di sicurezza del BIOS American Megatrends.
Lenovo aveva già iniziato a risolvere queste problematiche di sicurezza negli aggiornamenti al BIOS rilasciati nei mesi di luglio e agosto, mentre ulteriori patch sono previste per il rilascio a settembre e ottobre, con alcuni modelli che invece verranno aggiornati nel 2023. L'avviso di sicurezza di Lenovo include un elenco completo dei modelli interessati, riportante la versione BIOS più recente, che ne risolve le vulnerabilità, con i relativi link per il download. È anche possibile scaricare le nuove versioni del BIOS recandosi nel sito ufficiale Lenovo, cercando il proprio prodotto nella sezione Supporto e selezionando la scheda "Aggiornamento manuale".