联想UEFI固件驱动曝重大漏洞，数百万台电脑存在被入侵风险

最新的网络安全研究中，已发现的3个影响深远的统一可扩展固件接口 (UEFI) 安全漏洞影响了多款联想消费者笔记本电脑，这些漏洞可以使攻击者能够在受影响的设备上部署和执行固件植入。

根据中国网络安全行业门户”极牛网”GeekNB.com的梳理，这3个UEFI的重大安全漏洞号分别是 CVE-2021-3970、CVE-2021-3971 和 CVE-2021-3972，这些漏洞的产生主要是由于原本只能用于在电脑制造期间使用的固件驱动程序，被包含在了量产的BIOS镜像中。

成功利用这些漏洞可能允许攻击者禁用 SPI 闪存保护或安全启动，从而有效地使攻击者能够安装能够在系统重启后继续存在的持久性恶意软件。

另一方面，CVE-2021-3970 漏洞与公司系统管理模式 ( SMM ) 中的内存损坏有关，导致以最高权限执行恶意代码。

这3个漏洞已于 2021 年 10 月 11 日向 PC 制造商报告，随后于 2022 年 4 月 12 日发布补丁。联想描述的3个缺陷的摘要如下：

• CVE-2021-3970： LenovoVariable SMI 处理程序中的一个潜在漏洞，由于在某些联想笔记本型号中验证不足，可能允许具有本地访问权限和提升权限的攻击者执行任意代码。

• CVE-2021-3971： 在某些消费者联想笔记本设备的旧制造过程中使用的驱动程序存在潜在漏洞，错误地包含在 BIOS 映像中，这可能允许具有提升权限的攻击者通过修改 NVRAM 变量来修改固件保护区域。

• CVE-2021-3972： 一些消费者联想笔记本设备在制造过程中使用的驱动程序存在潜在漏洞，该驱动程序错误地未停用，可能允许具有提升权限的攻击者通过修改 NVRAM 变量来修改安全启动设置。

网络安全研究人员表示，UEFI 威胁可能非常隐蔽和危险，它们在启动过程的早期执行，然后将控制权转移到操作系统，这意味着它们可以绕过堆栈中几乎所有可能阻止其操作系统有效负载执行的安全措施和缓解措施。