Se han detectado varias
vulnerabilidades en diversos productos Lenovo. Los errores, de gravedad alta,
se corresponden con saltos de restricciones de seguridad, elevación de
privilegios dentro del sistema y/o ejecución de código arbitrario.
Lenovo es un conocido fabricante de
ordenadores, tabletas, smartphones, servidores, etc. También provee servicios
de soporte y tecnología de información de integración, teniendo incluso
servicios de acceso a Internet. La compañía es poseedora desde 2005 de la
división de ordenadores IBM, convirtiéndose en uno de los fabricantes de
ordenadores más grandes del mundo, teniendo los derechos de marcas tan
importantes como Thinkpad, Aptiva o Ideapad.
Los
errores se detallan a continuación:
• CVE-2017-3751: Existe
un error al no poner entre comillas determinadas rutas de servicios en el
driver del ThinkPad Compact USB Keyboard. Un atacante local autenticado podría
valerse de este error para escalar privilegios dentro del sistema y
potencialmente ejecutar código arbitrario dentro del sistema a través de
entradas de rutas de determinados servicios especialmente manipuladas. Esta
vulnerabilidad afecta a versiones anteriores a la 1.5.5.0 .
• CVE-2017-3752: Existe
una vulnerabilidad en la implementación del protocolo de red para
encaminamiento “Primer Camino Más Corto” (OSPF) en determinados switches
Lenovo. Para explotar esta vulnerabilidad, el atacante tendría que controlar un
router o dispositivo que soporte OSPF, de modo que mediante el envío de
mensajes OSPF especialmente manipulados podría alterar o incluso borrar tablas
de encaminamiento de todos los routers o dispositivos dentro del mismo dominio.
Esta vulnerabilidad afecta a los dispositivos y versiones indicados en el siguiente
enlace: https://support.lenovo.com/es/es/product_security/len-14078
• CVE-2017-3753: Esta
vulnerabilidad se debe a un error en la UEFI (BIOS) desarrollada por American
Megatrends (AMI) e incorporada de serie en muchos dispositivos Lenovo. Un
atacante con permisos administrativos o acceso físico al sistema podría ser
capaz de ejecutar código arbitrario dentro del sistema saltando restricciones
de seguridad tales como Device Guard y Hyper-V. AMI ha proporcionado parches
para solucionar esta vulnerabilidad, pero aun así se recomienda seguir las
siguientes medidas de seguridad:
- Habilitar
arranque seguro en el sistema.
- Deshabilitar la
consola UEFI en el arranque,
- Deshabilitar
cualquier opción de arranque que no sea el disco duro primario.
- Establecer una contraseña
para la BIOS, para asegurarse de que el arranque seguro y el arranque de
la consola UEFI no vuelvan a ser re establecidas.
- Trabajar como
“No” administrador dentro del sistema Windows.
- Ejecutar código
o software de fuentes fiables y conocidas.
Esta
vulnerabilidad afecta a un amplio número de dispositivos, para ver el listado
completo de dispositivos y versiones afectadas:
https://support.lenovo.com/es/es/product_security/len-14695
Recomendación
- Se recomienda actualizar a versiones superiores en todos los dispositivos vulnerables.