联想新UEFI固件漏洞影响数百万台笔记本电脑

2022年4月21日12:39:39评论82 views字数 1032阅读3分26秒阅读模式

现已发现三个影响力极大的统一可扩展固件接口（UEFI）安全漏洞正在影响联想消费者的各种笔记本型号，这些漏洞使得恶意攻击者能够在感染设备上部署及执行固件植入。

这些漏洞被追踪为CVE-2021-3970、CVE-2021-3971和CVE-2021-3972，在4月19日发布的一份报告中，安全研究员表示后两者“影响固件驱动程序，原本只能在联想消费类笔记本电脑的制造过程中使用。”

“它们也被错误地包含在生产BIOS映像中，并且没有正确地被停用。”研究员补充道。成功利用这些漏洞能够让攻击者禁用SPI闪存保护或安全启动，从而有效地使攻击者能够安装在系统重启后仍能继续存在的持久性恶意软件。

另一方面，CVE-2021-3970与其公司的系统管理模式（SMM）中的内存损坏案例有关，导致攻击者能够以最高权限执行恶意代码。

这三个漏洞于2021年10月11日向PC制造商报告，随后于2022年4月12日发布补丁。联想描述的三个漏洞的摘要如下：

CVE-2021-3970 —— LenovoVariable SMI 处理程序中的一个潜在漏洞，由于在某些联想笔记本型号中验证不足，可能导致允许具有本地访问权限和提升权限的攻击者执行任意代码。

CVE-2021-3971 —— 在某些消费者联想笔记本设备的旧制造过程中所使用的驱动程序存在潜在漏洞，又错误地包含在BIOS映像中。可能导致允许具有提升权限的攻击者通过修改NVFAM变量来修改固件保护区域。

CVE-2021-3972 —— 一些消费者联想笔记本设备在制造过程中所使用的驱动程序存在潜在漏洞，该驱动程序未被停用，可能导致具有提升权限的攻击者通过修改NVRAM变量来修改安全启动设置。

该漏洞已经影响了联想Flex；IdeaPads；拯救者；V14，V15和V17系列；以及ThinkPad yoga系列。加上自2022年年初以来已经披露Insyde Software的InsydeH2O、HP UEFI和Dell中的50多个固件漏洞。

“UEFI威胁是极其隐蔽且危险的，”安全研究员道，“它们在启动过程的早期执行，然后将控制权转移到操作系统，这表示这些漏洞可以绕过堆栈中几乎所有可能阻止其操作系统有效负载执行的安全措施和缓解措施。”

原文始发于微信公众号（山石网科安全技术研究院）：联想新UEFI固件漏洞影响数百万台笔记本电脑

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

警报！恶意npm包仿冒Telegram机器人库，Linux开发者系统遭SSH后门入侵