A Lenovo está alertando sobre falhas de alta gravidade no BIOS que podem permitir que atacantes ignorem o Secure Boot em desktops all-in-one usando firmware UEFI Insyde personalizado.
Os dispositivos confirmados como impactados são os IdeaCentre AIO 3 24ARR9 e 27ARR9, e os Yoga AIO 27IAH10, 32ILL10 e 32IRH8.
A UEFI é a substituição moderna para o tradicional BIOS de PC, atuando como uma interface de firmware entre o hardware do computador e o sistema operacional (OS), controlando a inicialização inicial e o booting.
As falhas, descobertas pela Binarly, refletem aquelas que os pesquisadores revelaram no início deste mês, as quais impactaram dezenas de modelos de placas-mãe da Gigabyte, permitindo atacantes locais executar código arbitrário no Modo de Gerenciamento do Sistema (SMM).
O SMM é um modo de CPU que é separado do sistema operacional (OS) e do hipervisor, operando com privilégios maiores em um nível mais baixo (Ring-2).
A exploração de falhas no SMM poderia ajudar atacantes a instalar malware 'indetectável', contornando defesas de segurança em nível de OS, como o SecureBoot.
InsydeH2O é um dos frameworks de BIOS UEFI comerciais mais amplamente implantados, usado em laptops e desktops OEM.
A Insyde também publicou um boletim explicando que as falhas surgem de customizações específicas da OEM feitas pela Lenovo nas imagens de firmware UEFI InsydeH2O, e não se aplicam a todos os sistemas que usam a UEFI InsydeH2O.
"As vulnerabilidades recém-identificadas da Lenovo surgem dos mesmos desafios recorrentes atrelados a inconsistências dentro da cadeia de suprimentos de software," comentou Alex Matrosov da Binarly para o site BleepingComputer.
"Todas as seis vulnerabilidades foram encontradas no código de nível System Management Mode (SMM), a camada de firmware invisível que carrega antes do seu sistema operacional e persiste após cada re-imagem, fazendo delas plataformas perfeitas para implantes furtivos e contornos do Secure Boot."
As seis falhas são resumidas da seguinte maneira:
CVE-2025-4421
: bug em um manipulador SMI (Callback7 via EfiSmiServices) permite a um atacante escrever em um endereço SMRAM controlado pelo atacante usando um registro RSI não validado, levando a escalada de privilégio no SMM e comprometimento persistente do firmware (CVSS score: 8.2)
CVE-2025-4422
: bug em um manipulador SMI (EfiSmiServices, via gEfiSmmCpuProtocol and EfiPcdProtocol) pode levar à corrupção de memória no SMM e escalada de privilégio.
(CVSS score: 8.2)
CVE-2025-4423
: bug em um manipulador SMI (SetupAutomationSmm) permite escritas arbitrárias de memória no SMM, levando à escalada de privilégio no SMM e execução de código.
(CVSS score: 8.2)
CVE-2025-4424
: validação de entrada inadequada em um manipulador SMI (SetupAutomationSmm) permite chamadas não saneadas para SmmSetVariable, levando à manipulação de configurações do firmware.
(CVSS score: 6)
CVE-2025-4425
: estouro de buffer na pilha em um manipulador SMI (SetupAutomationSmm) pode levar à escalada de privilégio no SMM e execução arbitrária de código.
(CVSS score: 8.2)
CVE-2025-4426
: bug em um manipulador SMI (SetupAutomationSmm) vaza conteúdos do SMRAM, possibilitando a divulgação de informações sensíveis.
(CVSS score: 6)
A Binarly reportou as vulnerabilidades à Lenovo em 8 de abril de 2025, e recebeu confirmação da empresa em 16 de junho.
A divulgação coordenada foi publicada ontem, após o término do prazo de divulgação de 90 dias.
A Lenovo lançou atualizações de segurança do firmware para os modelos IdeaCenter AIO 3, instando os usuários a atualizarem para a versão O6BKT1AA.
Atualizações para o Yoga AIO não estão disponíveis no momento, mas o fabricante do computador planeja liberar correções entre 30 de setembro e 30 de novembro de 2025.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...