联想多款设备UEFI固件曝漏洞，可禁用安全启动加载恶意程序

最新的网络安全研究中，联想多款设备的UEFI统一可扩展固件接口固件曝出3个安全漏洞，影响联想 Yoga、IdeaPad 和 ThinkBook 等品牌设备。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，这些漏洞允许禁用 UEFI 安全启动或恢复出厂默认的安全启动数据库（包括 dbx）。UEFI 是指充当操作系统和设备硬件中嵌入的固件之间的接口的软件。由于 UEFI负责在设备开机时启动操作系统，因此它使该技术成为黑客希望投放难以检测和删除的恶意软件的有吸引力的选择。

从这个角度来看，被追踪为 CVE-2022-3430、CVE-2022-3431 和 CVE-2022-3432 的漏洞可能会被攻击者滥用以关闭安全启动，这是一种旨在防止恶意程序的安全机制从引导过程中加载。

联想的公告对这些漏洞的描述如下：

• CVE-2022-3430：某些消费类 Lenovo Notebook 设备上的 WMI 安装驱动程序中存在潜在漏洞，可能允许具有提升权限的攻击者通过修改 NVRAM 变量来修改安全启动设置。

• CVE-2022-3431：某些消费者联想笔记本设备在制造过程中使用的驱动程序中存在一个潜在漏洞，该漏洞未被错误地停用，可能允许具有提升权限的攻击者通过修改 NVRAM 变量来修改安全启动设置。

• CVE-2022-3432：在 IdeaPad Y700-14ISK 的制造过程中使用的驱动程序中存在一个潜在漏洞，该漏洞未被错误地停用，可能允许具有提升权限的攻击者通过修改 NVRAM 变量来修改安全启动设置。

换句话说，禁用 UEFI 安全启动黑客可以执行恶意引导加载程序，从而授予攻击者对受感染主机的特权访问权限。

虽然第一组漏洞（CVE-2021-3970、CVE-2021-3971 和 CVE-2021-3972）可能允许不良行为者在受影响的设备上部署和执行固件植入，但第二批（CVE-2022- 1890、CVE-2022-1891 和 CVE-2022-1892）可以被武器化以实现任意代码执行并禁用安全功能。