宏碁修复了一个影响多种笔记本电脑型号的高危漏洞,该漏洞可能使本地攻击者能够在目标系统上停用 UEFI 安全启动。
Secure Boot 安全功能通过可信平台模块 (TPM) 芯片和统一可扩展固件接口 (UEFI) 固件阻止计算机上不受信任的操作系统引导加载程序,以防止在启动过程中加载 Rootkit 和 Bootkit 等恶意代码。
ESET 恶意软件研究人员Martin Smolar报告说,在某些消费类 Acer 笔记本设备上的 HQSwSmiDxe DXE 驱动程序中发现了安全漏洞 ( CVE-2022-4020 )。
具有高权限的攻击者可以在不需要用户交互的低复杂性攻击中滥用它,通过修改 BootOrderSecureBootDisable NVRAM 变量来禁用安全启动来更改 UEFI 安全启动设置。
“研究人员已经确定了一个漏洞,该漏洞可能允许通过创建 NVRAM 变量来更改安全启动设置(变量的实际值并不重要,受影响的固件驱动程序只检查是否存在),”宏碁说。
在受影响的 Acer 笔记本电脑上利用该漏洞并关闭安全启动后,威胁行为者可以劫持操作系统加载过程并加载未签名的引导加载程序以绕过或禁用保护并部署具有系统权限的恶意负载。
受影响的 Acer 笔记本电脑型号的完整列表包括 Acer Aspire A315-22、A115-21、A315-22G、Extensa EX215-21 和 EX215-21G。
BIOS 更新可用,Windows 更新传入
“宏碁建议将您的 BIOS 更新到最新版本以解决此问题。此更新将作为重要的 Windows 更新包括在内,”该公司补充道。
或者,客户可以从该公司的支持网站下载 BIOS 更新,并在受影响的系统上手动部署。
本月早些时候,联想修补了 ESET 研究人员在多款 ThinkBook、IdeaPad 和 Yoga 笔记本电脑型号中发现的类似漏洞,这些漏洞可能允许攻击者停用 UEFI 安全启动。
允许威胁参与者在操作系统启动之前运行未签名的恶意代码可能会导致严重后果,包括部署可以在操作系统重新安装之间持续存在的恶意软件,以及绕过安全解决方案提供的反恶意软件保护。
就联想而言,问题是由该公司的开发人员引起的,包括生产驱动程序中的早期开发驱动程序,该驱动程序可能会更改操作系统的安全启动设置。
一月份,ESET发现了另外三个 UEFI 固件缺陷,攻击者可以利用这些缺陷劫持 70 多种运行 Windows 的联想设备型号的启动例程。
