联想UEFI漏洞影响数百万台笔记本电脑

4月18日，联想发布了一份安全公告，公布了影响其100多种笔记本电脑型号的三个统一可扩展固件接口（UEFI）安全漏洞，这些漏洞使攻击者能够在受影响的设备上部署和执行固件植入。成功利用这些漏洞可能允许攻击者禁用 SPI 闪存保护或安全启动，继而能够安装持久性恶意软件。

这三个漏洞由ESET研究人员Martin Smolár于2021年10月11日向联想报告，已分配编号为CVE-2021-3970、CVE-2021-3971和CVE-2021-3972。联想已于2022年4月12日发布了相关补丁。

联想在其公告中描述的三个漏洞的摘要如下：

CVE-2021-3970 由于某些联想笔记本型号中的验证不足，LenovoVariable SMI Handler中存在一个潜在漏洞，使得具有本地访问权限和提升权限的攻击者有可能执行任意代码。

CVE-2021-3971 在某些联想笔记本设备上的旧制造过程中使用的驱动程序被错误地包含在 BIOS 映像中，使其可能存在一个潜在漏洞，导致具有提升权限的攻击者能够通过修改 NVRAM 变量来修改固件保护区。

CVE-2021-3972 在某些联想笔记本设备上，在制造过程中使用的驱动程序存在一个潜在漏洞被错误地未停用，因此具有提升权限的攻击者有可能通过修改 NVRAM 变量来修改安全启动设置。

“UEFI威胁可能非常隐蔽和危险，它们在启动过程的早期执行，然后将控制权转移到操作系统，这意味着它们可以绕过堆栈中几乎所有可能阻止其操作系统有效负载执行的安全措施和缓解措施。”报告漏洞的ESET研究人员Martin Smolár如此说道。

联想已发布了漏洞涉及的笔记本电脑型号的完整列表，受影响的用户应尽快按照官方说明更新系统固件版本。

联想公告：

https://support.lenovo.com/us/en/product_security/LEN-73440

ESET研究报告：

https://www.welivesecurity.com/2022/04/19/when-secure-isnt-secure-uefi-vulnerabilities-lenovo-consumer-laptops/