社区编辑申请
注册/登录
ESET发出警告,联想三个漏洞影响数百万台电脑
安全 漏洞
值得庆幸的是,目前这些漏洞已经全部修复。为防止上述漏洞引发的攻击,Lenovo 建议受影响设备的用户将系统固件版本更新到可用的最新版本。

4月19日,联想发布安全公告通报了旗下电脑存在的统一可扩展固件接口 (UEFI) 漏洞,分别是CVE-2021-3970、CVE-2021-3971和CVE-2021-3972,具体漏洞信息如下:

  • CVE-2021-3970:LenovoVariable SMI 处理程序中的一个潜在漏洞,由于在某些联想笔记本型号中验证不足,可能允许具有本地访问权限和提升权限的攻击者执行任意代码。
  • CVE-2021-3971:在某些消费者联想笔记本设备的旧制造过程中使用的驱动程序存在潜在漏洞,错误地包含在BIOS 映像中,这可能允许具有提升权限的攻击者通过修改 NVRAM 变量来修改固件保护区域。
  • CVE-2021-3972:一些消费者联想笔记本设备在制造过程中使用的驱动程序存在潜在漏洞,该驱动程序错误地未停用,可能允许具有提升权限的攻击者通过修改 NVRAM 变量来修改安全启动设置。

影响Lenovo UEFI 的漏洞是由于使用了两个UEFI 固件驱动程序,分别名为SecureBackDoor 和SecureBackDoorPeim。两种驱动程序仅在制造过程中使用。攻击者可以利用两个漏洞(分别为CVE-2021-3971 和 CVE-2021-3972)来禁用对 SPI 闪存芯片的保护并关闭 UEFI 安全启动功能。

安全启动是由PC行业成员开发的安全标准,旨在确保设备仅使用原始设备制造商(OEM)信任的软件启动。预计这些漏洞可能会影响全球一百多种不同型号,数百万台正在使用的联想笔记本电脑,包括IdeaPad、Legion游戏设备以及Flex和Yoga系列。

ESET研究人员在2021年10月向联想报告了这三个严重的安全漏洞。研究人员指出,有专家表示,UEFI漏洞非常隐蔽和危险,它们在启动过程的早期执行,然后将控制权转移到操作系统,这意味着攻击者可以绕过堆栈中,几乎所有可能阻止其操作系统有效负载执行的安全措施和缓解措施。

同时,ESET也在报告中指出,“近年来,所有已发现的现实世界UEFI威胁(LoJax、MosaicRegressor、 MoonBounce、ESPecter、FinSpy)都需要以某种方式绕过或禁用安全机制才能部署和执行。但是,只有LoJax是第一个野生UEFI rootkit(由ESET Research在2018 年发现),我们才知道通过利用 Speed Racer漏洞的 ReWriter_binary就可以实现。”

不过,这些并不是唯一发现的UEFI威胁。卡巴斯基在2020年发布了有关MosaicRegressor的报告,2021 年发布了FinSpy报告,以及今年 1 月的MoonBounce报告等,都曾报告了UEFI威胁。

这也意味着,在某些情况下,UEFI威胁的部署可能没有预期的那么困难,而过去几年发现的大量真实世界UEFI威胁表明攻击者已经意识到了这一点。

值得庆幸的是,目前这些漏洞已经全部修复。为防止上述漏洞引发的攻击,Lenovo 建议受影响设备的用户将系统固件版本更新到可用的最新版本。这可以通过从设备的支持页面手动安装更新或借助公司提供的用于更新系统驱动程序的实用程序来完成。

参考来源:

  • https://securityaffairs.co/wordpress/130375/security/lenovo-uefi-flaws.html
  • https://www.bleepingcomputer.com/news/security/lenovo-uefi-firmware-driver-bugs-affect-over-100-laptop-models/
责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2022-06-20 22:37:25

Linux操作系统命令

2022-06-15 08:21:49

Linux运维工程师

2022-06-20 13:34:46

漏洞网络攻击

2022-06-29 09:19:09

静态代码C语言c代码

2022-06-27 17:46:53

PythonFlask

2022-06-29 08:13:36

漏洞网络攻击网络安全

2022-06-20 14:57:50

漏洞安全威胁

2022-06-16 15:42:16

攻击面管理ASM

2022-06-09 18:04:46

网络攻击网络安全

2022-06-28 10:58:35

勒索软件攻击事件

2022-06-28 09:34:24

可视化Python代码

2022-06-28 09:26:25

Python配置文件

2022-06-28 12:35:21

DockerPython

2022-06-28 12:14:02

DockerLinux

2022-06-16 07:32:38

VSCodePython插件

2022-06-07 09:59:21

网络安全安全漏洞

2022-06-30 10:56:18

字节云数据库存储

2022-06-17 11:24:52

2022-06-23 11:42:22

MySQL数据库

2022-06-30 09:07:52

同话题下的热门内容

Black Lotus警告异常复杂的ZuoRAT恶意软件已盯上大量路由器高危漏洞并不意味着要最先修复

编辑推荐

Log4j史诗级漏洞,从原理到实战,只用3个实例就搞明白!漏洞情报 | Spring RCE 0day高危漏洞预警Kubernetes的严重漏洞将所有服务器暴露在DoS攻击面前!Tomcat爆出安全漏洞!Spring Cloud/Boot框架多个版本受影响二维码新漏洞出现,遇到此类二维码小心中招
我收藏的内容
点赞
收藏

51CTO技术栈公众号