联想(Lenovo)在本周修补了3个安全漏洞,这3个漏洞全都涉及允许黑客变更安全开机(Secure Boot)设置,而让黑客得以执行未经签署的UEFI程序,于设备上永久植入后门,波及超过20款联想笔记本,涵盖IdeaPad、Yoga Slim及ThinkBook等系列。
此次联想所修补的CVE-2022-3430、CVE-2022-3431与CVE-2022-3432都是由安全企业ESET所提报,其中的CVE-2022-3430存在于窗口管理规范(Windows Management Instrumentation,WMI)设置驱动程序中,它令黑客得以借由变更非挥发性内存(NVRAM)变量来篡改安全开机设置。
至于CVE-2022-3431与CVE-2022-3432都是存在于制造过程中的驱动程序,同样允许拥有权限的黑客变更NVRAM变量来篡改安全开机设置。
ESET解释,CVE-2022-3431及CVE-2022-3432都是来自于应该只用于制造过程中的驱动程序,只是被错误的纳入正式产品的BIOS镜像文件中,而且没有适当地被停用。联想笔记本今年4月也曾出现类似的漏洞。
总之,上述漏洞只要简单地通过特定的NVRAM变量就能被滥用,对此,固件安全工程师Nikolaj Schlej即曾出面呼吁,在撰写攸关安全的组件时,不应使用寻常的NVRAM作为可靠存储。
UEFI安全开机机制可于计算机开机时,确保系统不会加载恶意程序,上述漏洞却允许黑客关闭安全开机,使得黑客得以在系统开机之际执行恶意程序代码,并让它常驻于系统上。