继今年4月之后,联想笔记本再爆有3项UEFI固件漏洞,可让攻击者在受害者计算机上执行任意程序代码,并影响ThinkBook等70余机型。联想已于本周发布修补程序。
这批漏洞是由安全厂商ESET首先披露并通报,包含3个存在特定款Lenovo笔记本UEFI固件的缓冲溢出(buffer overflow)漏洞,一旦被开采,可能让攻击者在平台开机早期阶段执行任意程序代码,而让它劫持OS执行流程,关闭某些重要的安全功能。
这三项漏洞编号为CVE-2022-1890、CVE-2022-1891及CVE-2022-1892,分别存在于Lenovo产品UEFI固件上的ReadyBootDxe、SystemLoadDefaultDxe和SystemBootManagerDxe驱动程序,可让具有本地权限的攻击者升级其权限,以便在系统上执行任意程序代码。根据联想的安全公告,3漏洞属于中度风险漏洞。
ESET解释,这批漏洞出在3个驱动程序对UEFI Runtime Service的GetVariable的调用中、1个名为DataSize的参数验证不足,使攻击者可设计恶意NVRAM(非挥发性随机访问内存,Non-volatile random-access memory)变项,借由发送2次GetVariable调用,借此造成Data缓冲区的溢出。
研究人员表示,这属于典型的“double GetVariable”漏洞,也曾在IDA插件的固件程序代码中发生,并为名为efiXplorer的研究人员研究过。ESET也在后者的程序代码数据库加入对这3项漏洞的更新程序代码。
联想在本周发布安全公告,列出了受影响的产品,涵盖ThinkBook、Yoga、Slim、Ideapad及Flex,共约70多款。三项漏洞中以CVE-2022-1892影响最多机型。相关驱动程序可通过联想网站下载。
这也是联想笔记本今年以来第2次传出有UEFI固件漏洞。上一次是在今年4月,也是由ESET披露3项可导致植入及执行恶意程序代码的漏洞,影响上百款产品。