聯想UEFI漏洞影響數百萬檯膝上型電腦

編輯：左右裡

4月18日，聯想釋出了一份安全公告，公佈了影響其100多種膝上型電腦型號的三個統一可擴充套件韌體介面（UEFI）安全漏洞，這些漏洞使攻擊者能夠在受影響的裝置上部署和執行韌體植入。成功利用這些漏洞可能允許攻擊者禁用 SPI 快閃記憶體保護或安全啟動，繼而能夠安裝永續性惡意軟體。

這三個漏洞由ESET研究人員Martin Smolár於2021年10月11日向聯想報告，已分配編號為CVE-2021-3970、CVE-2021-3971和CVE-2021-3972。聯想已於2022年4月12日釋出了相關補丁。

聯想在其公告中描述的三個漏洞的摘要如下：

CVE-2021-3970 由於某些聯想筆記本型號中的驗證不足，LenovoVariable SMI Handler中存在一個潛在漏洞，使得具有本地訪問許可權和提升許可權的攻擊者有可能執行任意程式碼。

CVE-2021-3971 在某些聯想筆記本裝置上的舊制造過程中使用的驅動程式被錯誤地包含在 BIOS 映像中，使其可能存在一個潛在漏洞，導致具有提升許可權的攻擊者能夠透過修改 NVRAM 變數來修改韌體保護區。

CVE-2021-3972 在某些聯想筆記本裝置上，在製造過程中使用的驅動程式存在一個潛在漏洞被錯誤地未停用，因此具有提升許可權的攻擊者有可能透過修改 NVRAM 變數來修改安全啟動設定。

“UEFI威脅可能非常隱蔽和危險，它們在啟動過程的早期執行，然後將控制權轉移到作業系統，這意味著它們可以繞過堆疊中幾乎所有可能阻止其作業系統有效負載執行的安全措施和緩解措施。”報告漏洞的ESET研究人員Martin Smolár如此說道。

聯想已釋出了漏洞涉及的膝上型電腦型號的完整列表，受影響的使用者應儘快按照官方說明更新系統韌體版本。

聯想公告：

https://support.lenovo.com/us/en/product_security/LEN-73440

ESET研究報告：

https://www.welivesecurity.com/2022/04/19/when-secure-isnt-secure-uefi-vulnerabilities-lenovo-consumer-laptops/

資訊來源：聯想官網、ESET

轉載請註明出處和本文連結

每日漲知識

零信任

零信任並不是不信任，而是作為一種新的身份認證和訪問授權理念，不再以網路邊界來劃定可信或者不可信，而是預設不相信任何人、網路以及裝置，採取動態認證和授權的方式，把訪問者所帶來的網路安全風險降到最低。

推薦文章++++

* Beanstalk DeFi平臺遭攻擊損失1.82億美元

* GitHub封禁俄羅斯開發人員賬戶

* FBI認為史上最大加密貨幣盜竊案是朝鮮駭客所為

* 美國加密貨幣專家因協助朝鮮規避美國製裁而獲刑五年

* 歐洲刑警組織關閉世界最大駭客論壇之一RaidForums

* 索尼和樂高向Epic Games投資20億美元以協助開拓元宇宙

* 損害美國超10億美元的駭客組織烏克蘭籍成員被捕

﹀

﹀

﹀