Vulnerabilidades en productos Lenovo

------------------------------------

Se han detectado varias vulnerabilidades en diversos productos Lenovo.

Los errores, de gravedad alta, se corresponden con saltos de

restricciones de seguridad, elevacin de privilegios dentro del sistema

y/o ejecucin de cdigo arbitrario.

Lenovo es un conocido fabricante de ordenadores, tabletas, smartphones,

servidores, etc. Tambin provee servicios de soporte y tecnologa de

informacin de integracin, teniendo incluso servicios de acceso a

Internet. La compaa es poseedora desde 2005 de la divisin de

ordenadores IBM, convirtindose en uno de los fabricantes de ordenadores

ms grandes del mundo, teniendo los derechos de marcas tan importantes

como Thinkpad, Aptiva o Ideapad.

Los errores se detallan a continuacin:

* CVE-2017-3751: Existe un error al no poner entre comillas determinadas

rutas de servicios en el driver del ThinkPad Compact USB Keyboard. Un

atacante local autenticado podra valerse de este error para escalar

privilegios dentro del sistema y potencialmente ejecutar cdigo

arbitrario dentro del sistema a travs de entradas de rutas de

determinados servicios especialmente manipuladas. Esta vulnerabilidad

afecta a versiones anteriores a la 1.5.5.0 .

* CVE-2017-3752: Existe una vulnerabilidad en la implementacin del

protocolo de red para encaminamiento Primer Camino Ms Corto (OSPF) en

determinados switches Lenovo. Para explotar esta vulnerabilidad, el

atacante tendra que controlar un router o dispositivo que soporte OSPF,

de modo que mediante el envo de mensajes OSPF especialmente manipulados

podra alterar o incluso borrar tablas de encaminamiento de todos los

routers o dispositivos dentro del mismo dominio. Esta vulnerabilidad

afecta a los dispositivos y versiones indicados en el siguiente enlace:

https://support.lenovo.com/es/es/product_security/len-14078

SEGURIDAD FISICA

* CVE-2017-3753: Esta vulnerabilidad se debe a un error en la UEFI

(BIOS) desarrollada por American Megatrends (AMI) e incorporada de serie

en muchos dispositivos Lenovo. Un atacante con permisos administrativos

o acceso fsico al sistema podra ser capaz de ejecutar cdigo

arbitrario dentro del sistema saltando restricciones de seguridad tales

como Device Guard y Hyper-V.

AMI ha proporcionado parches para solucionar esta vulnerabilidad, pero

aun as se recomienda seguir las siguientes medidas de seguridad:

> Habilitar arranque seguro en el sistema.

> Deshabilitar la consola UEFI en el arranque,

> Deshabilitar cualquier opcin de arranque que no sea el disco duro

primario.

> Establecer una contrasea para la BIOS, para asegurarse de que el

arranque seguro y el arranque de la consola UEFI no vuelvan a ser re

establecidas.
> Trabajar como No administrador dentro del sistema Windows.

> Ejecutar cdigo o software de fuentes fiables y conocidas.

Esta vulnerabilidad afecta a un amplio nmero de dispositivos, para ver

el listado completo de dispositivos y versiones afectadas:

https://support.lenovo.com/es/es/product_security/len-14695

Se recomienda actualizar a versiones superiores en todos los

dispositivos vulnerables.

Ms informacin:

Lenovo

http://www3.lenovo.com

ThinkPad Compact USB Keyboard with TrackPoint Driver Unquoted Service Path

https://support.lenovo.com/es/es/product_security/len-15061

Industry-wide OSPF routing vulnerability on Lenovo and IBM Networking Switches

https://support.lenovo.com/es/es/product_security/len-14078

BIOS SMI Handler Input Validation Failures

https://support.lenovo.com/es/es/product_security/len-14695