联想修复了两个影响各种 ThinkBook、IdeaPad 和 Yoga 笔记本电脑型号的严重漏洞,这些漏洞可能允许攻击者停用 UEFI 安全启动。
UEFI Secure Boot 是一种验证系统,可确保在计算机启动过程中不会加载和执行恶意代码。
在操作系统启动之前运行未签名的恶意代码的后果 很严重,因为威胁参与者可以绕过所有安全保护来植入在操作系统重新安装之间持续存在的恶意软件。
问题源于联想错误地包含了一个早期开发驱动程序,该驱动程序可能会在最终生产版本中更改操作系统的安全启动设置。
这意味着漏洞不是由代码中的错误引起的,而是在生产设备上包含不正确的驱动程序的实际错误。
ESET 研究人员发现了多个联想产品中存在这些驱动程序,他们将其报告给了计算机供应商。
“受影响的驱动程序本应仅在制造过程中使用,但被错误地包含在生产中,”ESET 的 Twitter 线程解释道。
ESET 表示,可以通过创建特殊的 NVRAM 变量来利用这些漏洞,并分享 Nikolaj Schlej的 Twitter 线程链接, 这解释了为什么 UEFI 固件开发人员不应该将 NVRAM 用作可信存储。
联想通过 BIOS 修复的两个漏洞修复了以下漏洞:
- CVE-2022-3430:某些消费者联想笔记本设备上的 WMI 设置驱动程序中的漏洞可能允许具有提升权限的攻击者通过修改 NVRAM 变量来修改安全启动设置。
- CVE-2022-3431:在某些消费者联想笔记本设备的制造过程中使用的驱动程序存在漏洞,错误地未停用该漏洞可能允许具有提升权限的攻击者通过修改 NVRAM 变量来修改安全启动设置。
还有第三个类似性质的缺陷,编号为CVE-2022-3432,仅影响 Ideapad Y700-14ISK。由于受影响的产品已达到使用寿命 (EOL),Lenovo 不会解决此漏洞。
受支持的 Lenovo 计算机的所有者可以查看供应商安全公告中的型号列表,以确定任一缺陷是否会影响它们。
CVE ID 下提到了修复漏洞的固件版本,因此请确保升级到该版本或更高版本。
对于官方 Lenovo 软件,请查看此 在线支持门户 或运行计算机上预装的更新工具。
