A Lenovo está alertando sobre falhas de BIOS de alta gravidade que podem permitir que invasores ignorem o Secure Boot em desktops all-in-one usando firmware Insyde UEFI personalizado.
Os dispositivos confirmados como afetados são o IdeaCentre AIO 3 24ARR9 e 27ARR9 e o Yoga AIO 27IAH10, 32ILL10 e 32IRH8.
UEFI é o substituto moderno para o BIOS de PC tradicional, atuando como uma interface de firmware entre o hardware do computador e o sistema operacional, controlando a inicialização e a inicialização antecipadas.
As falhas, descobertas por Binarly, refletem aquelas que os pesquisadores descobriram no início deste mês, que impactaram dezenas de modelos de placas-mãe Gigabyte, permitindo que invasores locais executem código arbitrário no SMM (Modo de Gerenciamento do Sistema).
O SMM é um modo de CPU separado do sistema operacional (SO) e do hipervisor, executado com privilégios mais altos em um nível inferior (Ring-2). A exploração de falhas no SMM pode ajudar os invasores a plantar malware “indetectável”, ignorando as defesas de segurança no nível do sistema operacional, como o SecureBoot.
InsydeH2O é uma das estruturas comerciais UEFI BIOS mais amplamente implantadas usadas em laptops e desktops OEM.
Insyde também publicou um boletim explicando que as falhas surgem de personalizações específicas do OEM que eles fizeram para a Lenovo em imagens de firmware InsydeH2O UEFI e não se aplicam a todos os sistemas que usam InsydeH2O UEFI.
“As vulnerabilidades recém-identificadas da Lenovo surgem dos mesmos desafios recorrentes ligados a inconsistências na cadeia de suprimentos de software”, comentou Alex Matrosov, da Binarly, ao BleepingComputer.
“Todas as seis vulnerabilidades foram encontradas no código de nível do System Management Mode (SMM), a camada invisível de firmware que carrega antes do sistema operacional e persiste após cada nova imagem, tornando-as plataformas de lançamento perfeitas para implantes furtivos e desvios de inicialização segura.”
As seis falhas são resumidas da seguinte forma:
- CVE-2025-4421: bug em um manipulador SMI (Callback7 via EfiSmiServices) permite que um invasor grave em um endereço SMRAM controlado pelo invasor usando um registro RSI não validado, levando ao escalonamento de privilégios SMM e comprometimento persistente do firmware (pontuação CVSS: 8,2)
- CVE-2025-4422: em um manipulador SMI (EfiSmiServices, via gEfiSmmCpuProtocol e EfiPcdProtocol) pode levar à corrupção de memória SMM e escalonamento de privilégios. (Pontuação CVSS: 8,2)
- CVE-2025-4423: bug em um manipulador SMI (SetupAutomationSmm) permite gravações arbitrárias de memória no SMM, levando ao escalonamento de privilégios do SMM e à execução de código. (Pontuação CVSS: 8,2)
- CVE-2025-4424: a validação de entrada inadequada em um manipulador SMI (SetupAutomationSmm) permite chamadas não sanitizadas para SmmSetVariable, levando à manipulação de configurações de firmware. (Pontuação CVSS: 6)
- CVE-2025-4425: estouro de buffer de pilha em um manipulador SMI (SetupAutomationSmm) pode levar ao escalonamento de privilégios SMM e à execução de código arbitrário. (Pontuação CVSS: 8,2)
- CVE-2025-4426: bug em um manipulador SMI (SetupAutomationSmm) vaza conteúdo SMRAM, permitindo a divulgação de informações confidenciais. (Pontuação CVSS: 6)
A Binarly relatou as vulnerabilidades à Lenovo em 8 de abril de 2025 e recebeu a confirmação da empresa em 16 de junho. A divulgação coordenada foi publicada ontem, após o término da janela de divulgação de 90 dias.
A Lenovo tem Atualizações de segurança de firmware lançadas para os modelos IdeaCenter AIO 3, pedindo aos usuários que atualizem para a versão O6BKT1AA.
As atualizações do Yoga AIO não estão disponíveis no momento, mas o fornecedor do computador planeja lançar correções entre 30 de setembro e 30 de novembro de 2025.
[Update 7/31] – Corrigida a afirmação de que as falhas surgem de personalizações em imagens InsydeH2O UEFI feitas pela Lenovo. Essas personalizações foram feitas pela Insyde para produtos Lenovo.
