A Lenovo reconheceu uma falha em seus laptops ThinkPad, que oferecem uma brecha grave para o cibercrime. O ataque pode desabilitar a proteção contra gravação de dados no firmware UEFI por meio de um driver, o que abre uma vulnerabilidade gigante para que alguém com más intenções ganhe privilégios indevidos sobre um computador.
Em nota divulgada pela Lenovo, a empresa se exime de culpa, informando que a falha foi dada devido a um complemento externo à marca. Como a empresa informou que a vulnerabilidade partiu de uma fabricante de componentes, ela pode também atingir outras marcas. Isso significa que outras fabricantes, como a HP, também podem contar com uma vulnerabilidade séria em seus produtos.
A vulnerabilidade foi encontrada por Dmytro Oleksiuk, que mostrou que a falha conseguia driblar um recurso de segurança do Windows chamado de ‘Secure Boot’. O recurso funciona garantindo que o PC inicialize de forma segura, mas ele depende que os níveis mais baixos de software, como o UEFI, também estejam seguros
No ano passado, a Lenovo também teve problemas com segurança, quando alguns usuários tiveram dados roubados. A Lenovo informou que está trabalhando juntamente com os fornecedores de BIOS e com a Intel para investigar a falha.
Via Github, ComputerWorld e Lenovo.