聯想UEFI漏洞影響數百萬臺筆記本電腦

4月18日，聯想發布了一份安全公告，公布了影響其100多種筆記本電腦型號的三個統一可擴展固件接口（UEFI）安全漏洞，這些漏洞使攻擊者能夠在受影響的設備上部署和執行固件植入。成功利用這些漏洞可能允許攻擊者禁用 SPI 閃存保護或安全啟動，繼而能夠安裝持久性惡意軟件。

這三個漏洞由ESET研究人員Martin Smolár于2021年10月11日向聯想報告，已分配編號為CVE-2021-3970、CVE-2021-3971和CVE-2021-3972。聯想已于2022年4月12日發布了相關補丁。

聯想在其公告中描述的三個漏洞的摘要如下：

CVE-2021-3970 由于某些聯想筆記本型號中的驗證不足，LenovoVariable SMI Handler中存在一個潛在漏洞，使得具有本地訪問權限和提升權限的攻擊者有可能執行任意代碼。

CVE-2021-3971 在某些聯想筆記本設備上的舊制造過程中使用的驅動程序被錯誤地包含在 BIOS 映像中，使其可能存在一個潛在漏洞，導致具有提升權限的攻擊者能夠通過修改 NVRAM 變量來修改固件保護區。

CVE-2021-3972 在某些聯想筆記本設備上，在制造過程中使用的驅動程序存在一個潛在漏洞被錯誤地未停用，因此具有提升權限的攻擊者有可能通過修改 NVRAM 變量來修改安全啟動設置。

“UEFI威脅可能非常隱蔽和危險，它們在啟動過程的早期執行，然后將控制權轉移到操作系統，這意味著它們可以繞過堆棧中幾乎所有可能阻止其操作系統有效負載執行的安全措施和緩解措施。”報告漏洞的ESET研究人員Martin Smolár如此說道。

聯想已發布了漏洞涉及的筆記本電腦型號的完整列表，受影響的用戶應盡快按照官方說明更新系統固件版本。

聯想公告：

https://support.lenovo.com/us/en/product_security/LEN-73440

ESET研究報告：

https://www.welivesecurity.com/2022/04/19/when-secure-isnt-secure-uefi-vulnerabilities-lenovo-consumer-laptops/