聯想UEFI固件新漏洞影響數百萬臺筆記本電腦

已發現三個影響較大的統一可擴展固件接口（UEFI）安全漏洞，這些漏洞會影響各種聯想消費者筆記本電腦型號，使惡意行為者能夠在受影響的設備上部署和執行固件植入。

ESET研究人員Martin Smolár在今天發布的一份報告中表示，CVE-2021-3970、CVE-2021-3971和CVE-2021-3972這三個版本“影響原本只在聯想消費筆記本制造過程中使用的固件驅動程序”。

Smolár補充道：“不幸的是，它們也被錯誤地包括在生產BIOS映像中，沒有被正確停用。”。

成功利用這些漏洞可使攻擊者禁用SPI閃存保護或安全引導，從而有效地使對手能夠安裝能夠在系統重新啟動后存活的持久性惡意軟件。

另一方面，CVE-2021-3970涉及公司系統管理模式（SMM）中的內存損壞案例，導致以最高權限執行惡意代碼。

這三個缺陷于2021 10月11日向PC制造商報告，隨后于2022年4月12日發布補丁。聯想描述的三個缺陷總結如下-

• CVE-2021-3970–；由于某些聯想筆記本電腦型號中的驗證不足，LenovoVersionable SMI處理程序中存在一個潛在漏洞，該漏洞可能允許具有本地訪問權限和提升權限的攻擊者執行任意代碼。
• CVE-2021-3971–；某些消費類聯想筆記本電腦設備在較舊的制造過程中使用的驅動程序可能存在漏洞，該漏洞被錯誤地包含在BIOS映像中，使得具有提升權限的攻擊者可以通過修改NVRAM變量來修改固件保護區。
• CVE-2021-3972–；某些消費類聯想筆記本電腦設備在制造過程中使用的驅動程序存在一個潛在漏洞，該漏洞被誤認為未被停用，從而使具有提升權限的攻擊者能夠通過修改NVRAM變量來修改安全引導設置。

影響聯想Flex的弱點；IdeaPads；軍團V14、V15、V17系列；此外，自今年年初以來，Insyde Software旗下的InsydeH2O、HP UEFI和Dell都披露了多達50個固件漏洞。

Smolár說：“UEFI的威脅可能極其隱蔽和危險。”。“它們在引導過程的早期執行，然后再將控制權轉移到操作系統，這意味著它們可以繞過堆棧中可能阻止其操作系統有效負載執行的幾乎所有安全措施和緩解措施。”

來源：真相之一一個

原文鏈接：https://www.hake.cc/page/article/4403.html