El BIOS era lo último en lo que confiábamos. Ahora hay 6 nuevas razones para dejar de hacerlo

Investigadores de la empresa Binarly han identificado seis vulnerabilidades críticas en las BIOS desarrolladas por Insyde Software e implementadas en ordenadores de escritorio Lenovo —concretamente en las series IdeaCentre AIO 3 y Yoga AIO. Todas están relacionadas con el System Management Mode (SMM), un modo especial de funcionamiento del procesador que opera con un nivel de privilegios superior incluso al del núcleo del sistema operativo.

El SMM funciona en el nivel ring -2 —una capa a la que no tienen acceso las aplicaciones convencionales, los controladores ni los hipervisores. Está diseñado para ejecutar operaciones de bajo nivel absolutamente críticas: gestión energética, control de hardware, funciones OEM específicas y otras tareas que requieren aislamiento total del software principal.

Según datos de Lenovo, varias versiones de BIOS basadas en Insyde son vulnerables a ataques en los que un atacante con privilegios de núcleo (ring 0) puede acceder a la memoria protegida SMRAM (System Management RAM). Desde esta área es posible no solo extraer datos sensibles, sino también inyectar código arbitrario que se ejecutará dentro del SMM —un entorno completamente invisible e inaccesible para antivirus, sistemas de verificación de integridad y otros mecanismos de seguridad.

Cuatro de las seis vulnerabilidades recibieron una puntuación alta de severidad: 8.2 en la escala CVSS. Las otras dos obtuvieron una calificación de 6.0, lo que equivale a riesgo medio. En conjunto, representan una amenaza seria para la integridad del sistema, ya que su explotación permite insertar malware directamente en el firmware, eludiendo cualquier defensa del sistema operativo y garantizando la persistencia del código malicioso incluso después de una reinstalación completa del SO o un formateo del disco.

Aunque explotar estas fallas requiere acceso local y privilegios elevados, los analistas subrayan que son especialmente peligrosas como parte de cadenas de ataque más amplias, donde el atacante primero compromete el sistema operativo y luego asegura su permanencia a nivel de firmware.

Lenovo fue notificada sobre estas vulnerabilidades por el equipo de Binarly el 8 de abril de 2025. El fabricante ya ha publicado actualizaciones de firmware para algunos dispositivos afectados, incluyendo ciertas configuraciones del Yoga AIO. Se espera que el resto de los parches se liberen entre septiembre y noviembre de 2025.

El fabricante recomienda encarecidamente a todos los propietarios de modelos afectados actualizar la BIOS a la versión más reciente lo antes posible, para prevenir una posible brecha de seguridad a un nivel que escapa al control del sistema operativo.