聯(lián)想超70款筆記本電腦被曝新型UEFI固件漏洞
據(jù)Bleeping Computer網(wǎng)站7月13日消息,由聯(lián)想生產(chǎn)的超70款筆記本電腦正受三個 UEFI 固件緩沖區(qū)溢出漏洞的影響,這些漏洞能讓攻擊者劫持Windows系統(tǒng)并執(zhí)行任意代碼。
據(jù)悉,這三個漏洞由安全軟件公司ESET的分析師發(fā)現(xiàn),并已經(jīng)將其報告給了聯(lián)想。根據(jù)聯(lián)想的披露,這三個中等嚴重級別的漏洞分別為CVE-2022-1890、CVE-2022-1891 和 CVE-2022-1892。其中第一個為聯(lián)想部分筆記本產(chǎn)品使用的ReadyBootDxe驅(qū)動的問題,后兩個是SystemLoadDefaultDxe驅(qū)動的緩沖區(qū)溢出漏洞,該驅(qū)動被用于Yoga、IdeaPad、Flex、ThinkBook、V14、V15、V130、Slim、S145、S540 和 S940 等70多款電腦型號。
ESET的分析師表示,這些漏洞是由于傳遞給 UEFI 運行時服務函數(shù) GetVariable 的 DataSize 參數(shù)驗證不充分引起,攻擊者可以創(chuàng)建一個特制的 NVRAM 變量,導致第二個 GetVariable 調(diào)用中數(shù)據(jù)緩沖區(qū)的緩沖區(qū)溢出。
觸發(fā)利用 CVE-2022-1892 的變量
總體而言,利用UEFI 固件漏洞的攻擊非常危險,能讓攻擊者在操作系統(tǒng)剛啟動時運行惡意軟件,甚至在 Windows 內(nèi)置安全保護被激活之前,從而繞過或禁用操作系統(tǒng)級別的安全保護、逃避檢測,并且即使在磁盤格式化后仍然存在。對于一些經(jīng)驗豐富的攻擊者,能夠利用這些漏洞執(zhí)行任意代碼,對設備系統(tǒng)產(chǎn)生難以預估的影響。
為了解決這一風險,官方建議受影響設備的用戶通過官網(wǎng)下載適用于其產(chǎn)品的最新驅(qū)動程序版本。
參考來源:https://www.bleepingcomputer.com/news/security/new-uefi-firmware-flaws-impact-over-70-lenovo-laptop-models/