Trois vulnérabilités de sécurité UEFI (Unified Extensible Firmware Interface) à fort impact ont été détectées sur divers modèles d'ordinateurs portables Lenovo grand public, permettant à des acteurs malveillants de déployer et d'exécuter des implants de micrologiciels sur les appareils affectés.

Suivie sous les noms de CVE-2021-3970, CVE-2021-3971 et CVE-2021-3972, L'exploitation réussie de ces failles pourrait permettre à un attaquant de désactiver les protections de la flash SPI ou Secure Boot, donnant ainsi à l'adversaire la possibilité d'installer un malware persistant qui peut survivre aux redémarrages du système.

Les trois bogues ont été signalés au fabricant de PC le 11 octobre 2021, puis des correctifs ont été publiés le 12 avril 2022.

La première vulnérabilité affecte la fonction de gestionnaire SMI Handler due à une validation insuffisante dans certains modèles d'ordinateurs portables Lenovo peut permettre à un attaquant ayant un accès local et des privilèges élevés d'exécuter du code arbitraire.

Les deux autres vulnérabilités concernent des pilotes nommés « SecureBackDoor » et « SecureBackDoorPeim », qui sont utilisés pendant le processus de fabrication de certains PC, selon Lenovo, la première faille a été inclus par erreur dans l’image du BIOS pourrait permettre à un attaquant disposant de privilèges élevés de modifier la région de protection du microprogramme en modifiant une variable NVRAM. La deuxième, ayant le même impact n'a pas été désactivée par erreurs lors de la fabrication.

Il est recommandé aux utilisateurs de mettre à jour leur micrologiciel immédiatement ou d’appliquer les options d’atténuation afin d’éviter tout risque possible.