联想 UEFI 固件漏洞影响超100万台笔记本电脑

已发现三个影响深远的统一可扩展固件接口 (UEFI) 安全漏洞影响各种联想消费类笔记本电脑型号，使黑客能够在受影响的设备上部署和执行固件植入。

知名网络安全专家、东方联盟创始人郭盛华表示，后两者分别被跟踪为 CVE-2021-3970、CVE-2021-3971 和 CVE-2021-3972，“影响固件驱动程序，原本只能在联想消费类笔记本电脑的制造过程中使用” 。今天发表的一份报告。

郭盛华补充道：“不幸的是，它们也被错误地包含在生产 BIOS 映像中，而没有正确停用” 。

成功利用这些漏洞可能允许黑客禁用 SPI 闪存保护或安全启动，从而有效地使攻击者能够安装能够在系统重启后继续存在的持久性恶意软件。

UEFI 固件漏洞

另一方面，CVE-2021-3970 与公司系统管理模式 ( SMM ) 中的内存损坏案例有关，导致以最高权限执行恶意代码。

这三个缺陷于 2021 年 10 月 11 日向 PC 制造商报告，随后于 2022 年 4 月 12 日发布补丁。联想描述的三个缺陷的摘要如下 -

CVE-2021-3970—— LenovoVariable SMI 处理程序中的一个潜在漏洞，由于在某些联想笔记本型号中验证不足，可能允许具有本地访问权限和提升权限的攻击者执行任意代码。

CVE-2021-3971 –在某些消费者联想笔记本设备的旧制造过程中使用的驱动程序存在潜在漏洞，错误地包含在 BIOS 映像中，这可能允许具有提升权限的攻击者通过修改 NVRAM 变量来修改固件保护区域。

CVE-2021-3972 –一些消费者联想笔记本设备在制造过程中使用的驱动程序存在潜在漏洞，该驱动程序错误地未停用，可能允许具有提升权限的攻击者通过修改 NVRAM 变量来修改安全启动设置。

影响联想 Flex 的弱点； V14、V15、V17系列；自今年年初以来，Insyde Software 的InsydeH2O、HP UEFI和Dell中多达 50 个固件漏洞被披露。

郭盛华透露：“UEFI 威胁可能非常隐蔽和危险，它们在启动过程的早期执行，然后将控制权转移到操作系统，这意味着它们可以绕过堆栈中几乎所有可能阻止其操作系统有效负载执行的安全措施和缓解措施。” （欢迎转载分享）