联想修补3个UEFI 固件漏洞，这些漏洞影响数百万用户

据外媒报道，有3个可扩展固件接口 (UEFI) 安全漏洞，会影响数百万用户的 100 多种不同的消费笔记本电脑型号。这些漏洞编号为：CVE-2021-3970、CVE-2021-3971和CVE-2021-3972。黑客利用这些漏洞，能够在受影响的设备上部署和执行固件植入。据悉，2022年4月12日，联想已经发布补丁。

在 UEFI 网络攻击中，恶意操作会在启动过程的早期阶段加载到受感染的设备上。这意味着恶意软件可以篡改配置数据，建立持久性，并且可能能够绕过仅在操作系统阶段加载的安全措施。

ESET周二表示，这些漏洞影响“全球拥有数百万用户的 100 多种不同的消费笔记本电脑型号”，并且是由仅打算在联想产品开发阶段使用的驱动程序引起的。

受影响的产品列表：

1、IdeaPad

2、Legion 游戏设备

3、Flex 和 Yoga 笔记本电脑

ESET 于 2021 年 10 月 11 日向联想报告了这三个漏洞。安全漏洞于 11 月进行了分类和确认，2022年4月12日，联想已发布补丁。

3个漏洞的影响

1、CVE-2021-3970：影响 SW SMI 处理程序函数。这种由不正确的输入验证引起的 SMM 内存损坏问题允许攻击者读取/写入 SMRAM，进而允许具有 SMM 权限的恶意代码执行， 并部署 SPI 闪存植入。

2、CVE-2021-3971：在某些消费者联想笔记本设备的旧制造过程中使用的驱动程序存在潜在漏洞，错误地包含在 BIOS 映像中，这可能允许具有提升权限的攻击者通过修改 NVRAM 变量来修改固件保护区域。

3、CVE-2021-3972：一些消费者联想笔记本设备在制造过程中使用的驱动程序存在潜在漏洞，该驱动程序错误地未停用，可能允许具有提升权限的攻击者通过修改 NVRAM 变量来修改安全启动设置。

联想建议用户立即修补固件，并且已经为目前无法接受修复的用户发布了建议和其他缓解方案。由于列表中的每个设备都将作为旧产品使用修复程序进行更新。ESET 建议使用支持 TPM 的全盘加密软件，在涉及到不支持的设备时，如果UEFI Secure Boot配置被篡改，则可以使信息无法访问。

ESET 研究员 Martin Smolár 表示，在过去几年发现的所有现实世界UEFI威胁，都需要以某种方式绕过或禁用安全机制才能部署和执行。这表明，在某些情况下UEFI 威胁的部署可能没有预期的那么困难，而UEFI 威胁表明攻击者似乎也意识到这一点。、

为了确保网络安全，用户要及时修补固件，打好安全补丁很重要，可以避免未来受到损害。