联想超70款笔记本电脑被曝新型UEFI固件漏洞

据Bleeping Computer网站7月13日消息，由联想生产的超70款笔记本电脑正受三个 UEFI 固件缓冲区溢出漏洞的影响，这些漏洞能让攻击者劫持Windows系统并执行任意代码。

据悉，这三个漏洞由安全软件公司ESET的分析师发现，并已经将其报告给了联想。根据联想的披露，这三个中等严重级别的漏洞分别为CVE-2022-1890、CVE-2022-1891 和 CVE-2022-1892。其中第一个为联想部分笔记本产品使用的ReadyBootDxe驱动的问题，后两个是SystemLoadDefaultDxe驱动的缓冲区溢出漏洞，该驱动被用于Yoga、IdeaPad、Flex、ThinkBook、V14、V15、V130、Slim、S145、S540 和 S940 等70多款电脑型号。

ESET的分析师表示，这些漏洞是由于传递给 UEFI 运行时服务函数 GetVariable 的 DataSize 参数验证不充分引起，攻击者可以创建一个特制的 NVRAM 变量，导致第二个 GetVariable 调用中数据缓冲区的缓冲区溢出。

【图：触发利用CVE-2022-1892的变量】

总体而言，利用UEFI 固件漏洞的攻击非常危险，能让攻击者在操作系统刚启动时运行恶意软件，甚至在 Windows 内置安全保护被激活之前，从而绕过或禁用操作系统级别的安全保护、逃避检测，并且即使在磁盘格式化后仍然存在。对于一些经验丰富的攻击者，能够利用这些漏洞执行任意代码，对设备系统产生难以预估的影响。

为了解决这一风险，官方建议受影响设备的用户通过官网下载适用于其产品的最新驱动程序版本。

参考来源：

https://www.bleepingcomputer.com/news/security/new-uefi-firmware-flaws-impact-over-70-lenovo-laptop-models/

精彩推荐

原文始发于微信公众号（FreeBuf）：联想超70款笔记本电脑被曝新型UEFI固件漏洞