De acordo com a investigação da ESET, as ameaças ao nível do UEFI podem ser extremamente furtivas e perigosas. Estas ameaças são executadas nos primeiros estágios do processo de boot, antes de transferirem controlo para o sistema operativo. Na prática, isto significa que elas podem contornar quase todas as medidas de segurança e mitigação superiores que contribuem para prevenir ataques.

A ESET detetou três vulnerabilidades diferentes, designadas CVE-2021-3970, CVE-2021-3971, CVE-2021-3972. As duas primeiras tratam-se essencialmente de backdoors “seguras” integradas no firmware UEFI que podem ser ativadas para desligar as proteções flash SPI ou a funcionalidade UEFI Secure Boot a partir de um processo privilegiado de modo de utilizador durante o tempo de funcionamento do sistema operativo. Já a terceira vulnerabilidade permite a leitura/escrita arbitrária de/para SMRAM, que pode levar à execução de código malicioso com privilégios SMM e potencialmente levar à implementação de um implante flash SPI.

O boot e serviços UEFI oferecem as funções e estruturas de dados básicas necessárias para os drivers e aplicações fazerem o seu trabalho, como a instalação de protocolos, localização de protocolos existentes, alocação de memória, manipulação variável do UEFI, entre outros. Por sua parte, o SMM é um modo de execução altamente privilegiado dos processadores. O seu código está escrito no contexto do firmware do sistema e é tipicamente usando para várias funções, incluindo gestão energética avançada, execução de código proprietário OEM, e atualizações de firmware seguras.

Os investigadores da ESET recomendam fortemente que todos os utilizadores de portáteis Lenovo verifiquem a lista de dispositivos afetados e atualizem o seu firmware de acordo com as instruções do fabricante.