ESET发布警告,联想的三个漏洞影响百万台电脑CVE-2021-3971和CVE-2021-3972,具体漏洞信息如下:CVE-2021-3970:LenovoVariableSMIhandler中的一个潜在漏洞可能允许本地访问由于某些联想笔记本电脑型号的身份验证不足,以及具有执行任意代码的提升权限的攻击者。CVE-2021-3971:某些消费类Lenovo笔记本设备的传统制造过程中使用的驱动程序中存在潜在漏洞,该驱动程序错误地包含在BIOS映像中,这可能允许具有提升权限的攻击者修改固件保护区。CVE-2021-3972:在某些消费类Lenovo笔记本设备的制造过程中使用的驱动程序中存在一个潜在漏洞,该漏洞未被错误地禁用,并且可能允许具有提升权限的攻击者通过修改NVRAM变量来修改安全启动设置。影响LenovoUEFI的漏洞是由于使用了两个名为SecureBackDoor和SecureBackDoorPeim的UEFI固件驱动程序。两个驱动程序仅在制造过程中使用。攻击者可以利用两个漏洞(CVE-2021-3971和CVE-2021-3972)禁用对SPI闪存芯片的保护并关闭UEFI安全启动。SecureBoot是由PC行业成员开发的安全标准,用于确保设备仅使用原始设备制造商(OEM)信任的软件启动。这些漏洞预计将影响全球使用的一百多种不同型号和数百万台联想笔记本电脑,包括IdeaPads、Legion游戏设备以及Flex和Yoga系列。ESET研究人员在2021年10月向联想报告了这三个严重的安全漏洞。研究人员指出,一些专家表示,UEFI漏洞非常隐蔽和危险。它们在引导过程的早期执行,然后将控制权转移给操作系统。有效载荷实施的安全措施和缓解措施。同时,ESET还在报告中指出,“近年发现的所有现实世界UEFI威胁(LoJax、MosaicRegressor、MoonBounce、ESpecter、FinSpy)都需要通过某种方式绕过或禁用安全机制,以便部署和执行。然而,只有LoJax是我们通过ReWriter_binary获知的第一个利用SpeedRacer漏洞的UEFIrootkit(由ESETResearch于2018年发现)。然而,这些并不是发现的唯一UEFI威胁。卡巴斯基在2020年发布了一份关于MosaicRegressor的报告,2021年发布了一份FinSpy报告,今年1月发布了一份MoonBounce报告。还报告了UEFI威胁。这意味着,在某些情况下,UEFI威胁的部署可能没有预期的那么困难,过去几年发现的大量现实世界UEFI威胁表明攻击者已经意识到了这一点。值得庆幸的是,这些漏洞现已全部修复。为防止上述漏洞引起的攻击,联想建议受影响设备的用户将系统固件版本更新至可用的最新版本。这可以通过从设备的支持页面手动安装更新或借助公司提供的更新系统驱动程序来完成。参考来源:https://securityaffairs.co/wordpress/130375/security/lenovo-uefi-flaws.htmlhttps://www.bleepingcomputer.com/news/security/lenovo-uefi-firmware-driver-bugs-affect-over-100-笔记本电脑型号/
