联想笔记本电脑型号中报告的新UEFI固件缺陷

PC制造商联想解决了影响Yoga、IdeaPad和ThinkBook设备的统一可扩展固件接口（UEFI）固件中的另一组三个缺点。

斯洛伐克网络安全公司ESET在一系列推文中解释道：“这些漏洞允许禁用UEFI Secure Boot或恢复出厂默认的Secure Boot数据库（包括dbx）：所有这些都是从操作系统进行的”。

UEFI是指充当操作系统和嵌入设备硬件中的固件之间的接口的软件。由于UEFI负责在设备通电时启动操作系统，因此它使该技术成为威胁行为者的一个有吸引力的选择，他们希望丢弃难以检测和移除的恶意软件。

从这个角度来看，被追踪为CVE-2022-3430、CVE-2022-3 431和CVE-202-3 432的缺陷可能会被对手滥用，以关闭安全引导（Secure Boot），这是一种旨在防止恶意程序在引导过程中加载的安全机制。

联想的建议如下所述：

• CVE-2022-3430：某些联想笔记本电脑用户设备上的WMI安装程序驱动程序中存在潜在漏洞，攻击者可以通过修改NVRAM变量来提高权限，从而修改安全引导设置。

• CVE-2022-3431：在某些消费型联想笔记本设备的制造过程中使用的驱动程序中存在一个潜在漏洞，该漏洞错误地未被停用，可能会使具有提升权限的攻击者通过修改NVRAM变量来修改安全引导设置。

• CVE-2022-3432：IdeaPad Y700-14ISK在制造过程中使用的驱动程序中存在一个潜在漏洞，该漏洞错误地未被停用，可能会使具有提升权限的攻击者通过修改NVRAM变量来修改安全引导设置。

换言之，禁用UEFI安全引导使威胁参与者可以执行恶意引导加载程序，从而授予攻击者对受损主机的特权访问。

ESET表示，这些漏洞并不是源代码本身的缺陷，而是因为“驱动程序只在制造过程中使用，但被错误地包含在生产中”

最新的更新标志着联想自今年年初以来第三次着手修补UEFI固件中的缺陷，所有这些都是由ESET研究人员Martin Smolár发现并报告的。

虽然第一组问题（CVE-2021-3970、CVE-221-3971和CVE-221-3972）可能会让不良行为者在受影响的设备上部署和执行固件植入，但第二批（CVE-222-1890、CVE-2022-1891和CVE-2021-1892）可能会被武器化，以实现任意代码执行并禁用安全功能。

联想表示，不打算发布CVE-2022-3432的修复程序，因为该机型已达到使用寿命（EoL）。建议其他受影响设备的用户将其固件更新至最新版本。