聯想超70款筆記本電腦被曝新型UEFI固件漏洞

由聯想生產的超70款筆記本電腦正受三個 UEFI 固件緩沖區溢出漏洞的影響，這些漏洞能讓攻擊者劫持Windows系統并執行任意代碼。

據悉，這三個漏洞由安全軟件公司ESET的分析師發現，并已經將其報告給了聯想。根據聯想的披露，這三個中等嚴重級別的漏洞分別為CVE-2022-1890、CVE-2022-1891 和 CVE-2022-1892。其中第一個為聯想部分筆記本產品使用的ReadyBootDxe驅動的問題，后兩個是SystemLoadDefaultDxe驅動的緩沖區溢出漏洞，該驅動被用于Yoga、IdeaPad、Flex、ThinkBook、V14、V15、V130、Slim、S145、S540 和 S940 等70多款電腦型號。

ESET的分析師表示，這些漏洞是由于傳遞給 UEFI 運行時服務函數 GetVariable 的 DataSize 參數驗證不充分引起，攻擊者可以創建一個特制的 NVRAM 變量，導致第二個 GetVariable 調用中數據緩沖區的緩沖區溢出。

觸發利用 CVE-2022-1892 的變量

總體而言，利用UEFI 固件漏洞的攻擊非常危險，能讓攻擊者在操作系統剛啟動時運行惡意軟件，甚至在 Windows 內置安全保護被激活之前，從而繞過或禁用操作系統級別的安全保護、逃避檢測，并且即使在磁盤格式化后仍然存在。對于一些經驗豐富的攻擊者，能夠利用這些漏洞執行任意代碼，對設備系統產生難以預估的影響。

為了解決這一風險，官方建議受影響設備的用戶通過官網下載適用于其產品的最新驅動程序版本。