Были обнаружены три серьезные уязвимости в системе безопасности Unified Extensible Firmware Interface (UEFI), влияющие на различные модели потребительских ноутбуков Lenovo, что позволяет злоумышленникам развертывать и запускать импланты прошивки на уязвимых устройствах.
Отслеживаемые как CVE-2021-3970, CVE-2021-3971 и CVE-2021-3972, последние две «влияют на драйверы встроенного ПО, изначально предназначенные для использования только в процессе производства потребительских ноутбуков Lenovo», — сказал исследователь ESET Мартин Смолар. отчет, опубликованный сегодня.
«К сожалению, они были ошибочно включены в производственные образы BIOS без надлежащей деактивации», — добавил Смолар.
Успешное использование уязвимостей может позволить злоумышленнику отключить защиту флэш-памяти SPI или безопасную загрузку, фактически предоставив злоумышленнику возможность установить постоянное вредоносное ПО, которое может пережить перезагрузку системы.
CVE-2021-3970, с другой стороны, относится к случаю повреждения памяти в режиме управления системой (SMM) фирмы, что привело к выполнению вредоносного кода с самыми высокими привилегиями.
О трех недостатках было сообщено производителю ПК 11 октября 2021 г., после чего 12 апреля 2022 г. были выпущены исправления. Краткое описание трех недостатков, описанное Lenovo, приведено ниже:
- CVE-2021-3970 — потенциальная уязвимость в обработчике LenovoVariable SMI из-за недостаточной проверки в некоторых моделях ноутбуков Lenovo может позволить злоумышленнику с локальным доступом и повышенными привилегиями выполнить произвольный код.
- CVE-2021-3971 — потенциальная уязвимость драйвера, использовавшегося в старых производственных процессах на некоторых потребительских ноутбуках Lenovo, который был ошибочно включен в образ BIOS, может позволить злоумышленнику с повышенными привилегиями изменить область защиты встроенного ПО, изменив переменную NVRAM.
- CVE-2021-3972 — потенциальная уязвимость драйвера, используемого в процессе производства на некоторых потребительских ноутбуках Lenovo, который по ошибке не был деактивирован, может позволить злоумышленнику с повышенными привилегиями изменить параметр безопасной загрузки, изменив переменную NVRAM.
Слабые стороны, которые влияют на Lenovo Flex; планшеты Idea; Legion; серии V14, V15 и V17; и ноутбуки Yoga, а также раскрытие информации о 50 уязвимостях встроенного ПО InsydeH2O, HP UEFI и Dell с начала года.
«Угрозы UEFI могут быть чрезвычайно скрытными и опасными, — сказал Смолар. «Они выполняются в начале процесса загрузки, до передачи управления операционной системе, что означает, что они могут обойти почти все меры безопасности и смягчения последствий выше в стеке, которые могут помешать выполнению полезной нагрузки их ОС».