聯想UEFI固件驅動曝重大漏洞,數百萬臺電腦存在被入侵風險
最新的網絡安全研究中,已發現的3個影響深遠的統一可擴展固件接口 (UEFI) 安全漏洞影響了多款聯想消費者筆記本電腦,這些漏洞可以使攻擊者能夠在受影響的設備上部署和執行固件植入。
根據中國網絡安全行業門戶”極牛網”GeekNB.com的梳理,這3個UEFI的重大安全漏洞號分別是 CVE-2021-3970、CVE-2021-3971 和 CVE-2021-3972,這些漏洞的產生主要是由于原本只能用于在電腦制造期間使用的固件驅動程序,被包含在了量產的BIOS鏡像中。
成功利用這些漏洞可能允許攻擊者禁用 SPI 閃存保護或安全啟動,從而有效地使攻擊者能夠安裝能夠在系統重啟后繼續存在的持久性惡意軟件。
另一方面,CVE-2021-3970 漏洞與公司系統管理模式 ( SMM ) 中的內存損壞有關,導致以最高權限執行惡意代碼。
這3個漏洞已于 2021 年 10 月 11 日向 PC 制造商報告,隨后于 2022 年 4 月 12 日發布補丁。聯想描述的3個缺陷的摘要如下:
CVE-2021-3970:LenovoVariable SMI 處理程序中的一個潛在漏洞,由于在某些聯想筆記本型號中驗證不足,可能允許具有本地訪問權限和提升權限的攻擊者執行任意代碼。
CVE-2021-3971: 在某些消費者聯想筆記本設備的舊制造過程中使用的驅動程序存在潛在漏洞,錯誤地包含在 BIOS 映像中,這可能允許具有提升權限的攻擊者通過修改 NVRAM 變量來修改固件保護區域。
CVE-2021-3972: 一些消費者聯想筆記本設備在制造過程中使用的驅動程序存在潛在漏洞,該驅動程序錯誤地未停用,可能允許具有提升權限的攻擊者通過修改 NVRAM 變量來修改安全啟動設置。
網絡安全研究人員表示,UEFI 威脅可能非常隱蔽和危險,它們在啟動過程的早期執行,然后將控制權轉移到操作系統,這意味著它們可以繞過堆棧中幾乎所有可能阻止其操作系統有效負載執行的安全措施和緩解措施。
