ESET发现联想笔记本的固件存在3项UEFI漏洞,可使内存被植入及执行恶意程序。上百款消费型机型受到影响。不过联想已经发布修补程序,呼吁用户尽快更新。
三项漏洞分别为CVE-2021-3971、CVE-2021-3972以及CVE-2021-3970。其中CVE-2021-3971、CVE-2021-3972存在UEFI固件的2个驱动程序中。这2个驱动程序原本应该只能用在联想消费型笔记本的制造过程中,但却不知为何被加入了出货笔记本的BIO镜像文件(CVE-2021-3971),或是没有被关闭(CVE-2021-3972)。这两个驱动程序也有个很讽刺的名称,分别叫做SecureBackDoor和SecureBackDoorPeim。
研究人员指出,两个驱动程序可被攻击者启动,在OS执行时以特权user mode行程关闭笔记本的SPI闪存防护机制(BIOS Control或Protected Range等注册表设置)或是UEFI安全关机功能。这意味着攻击者可以扩展权限,修改NVRAM变项进而在联想笔记本的SPI闪存或EFI系统分区(ESP)部署和执行嵌入程序,像是第一款UEFI rootkit LoJax或是ESPecter,两者都可长期潜伏在计算机中,远程下载其他恶意程序。
而在研究前述二项漏洞过程中,研究人员又发现编号CVE-2021-3970的第3项漏洞,这是发生在SW SMI handler功能中的SMM(System Management Mode)内存毁损漏洞,它允许具本机权限的用者在SMRAM内存提升到SMM权限并执行恶意程序代码,甚至部署SPI闪存恶意程序。
3项漏洞都是ESET研究人员去年发现,并于10月通报联想,这些漏洞的风险值并未提供。受影响的产品涵盖低到高价机型总计百余款,包括Ideapad-3到Legion(如Legion 5 Pro 16ACH6 H)或是Yoga Slim(如Yoga Slim 9-14ITL05)等。
联想刚刚于本周更新了系统固件及驱动程序,用户可以在支持网站(如https://support.lenovo.com/,或https://newsupport.lenovo.com.cn/)找到相应机型下载安装。