Đã phát hiện ra ba lỗ hổng bảo mật có tác động lớn đến giao diện phần mềm điều khiển mở rộng hợp nhất (UEFI) ảnh hưởng đến các kiểu máy tính xách tay tiêu dùng khác nhau của Lenovo, cho phép các tác nhân độc hại triển khai và thực hiện việc cấy ghép phần mềm cơ sở trên các thiết bị bị ảnh hưởng.
Được theo dõi là CVE-2021-3970, CVE-2021-3971 và CVE-2021-3972, hai phần sau “ảnh hưởng đến trình điều khiển phần sụn ban đầu chỉ được sử dụng trong quá trình sản xuất máy tính xách tay tiêu dùng của Lenovo”, nhà nghiên cứu Martin Smolár của ESET cho biết trong một báo cáo được xuất bản ngày hôm nay.
“Thật không may, chúng cũng bị đưa nhầm vào các hình ảnh BIOS sản xuất mà không được tắt đúng cách,” Smolár nói thêm.
Việc khai thác thành công các lỗ hổng này có thể cho phép kẻ tấn công vô hiệu hóa bảo vệ flash SPI hoặc khởi động an toàn, cấp cho kẻ thù khả năng cài đặt phần mềm độc hại dai dẳng có thể tồn tại khi hệ thống khởi động lại một cách hiệu quả.
Mặt khác, CVE-2021-3970 liên quan đến một trường hợp hỏng bộ nhớ trong Chế độ quản lý hệ thống (SMM) của công ty, dẫn đến việc thực thi mã độc với các đặc quyền cao nhất.
Ba lỗ hổng đã được báo cáo cho nhà sản xuất PC vào ngày 11 tháng 10 năm 2021, sau đó các bản vá được phát hành vào ngày 12 tháng 4 năm 2022. Dưới đây là tóm tắt về ba lỗ hổng được Lenovo mô tả:
CVE-2021-3970 – Một lỗ hổng tiềm ẩn trong LenovoVariable SMI Handler do không đủ xác thực trong một số kiểu Máy tính xách tay Lenovo có thể cho phép kẻ tấn công có quyền truy cập cục bộ và các đặc quyền nâng cao thực thi mã tùy ý. CVE-2021-3971 – Một lỗ hổng tiềm ẩn do trình điều khiển được sử dụng trong quá trình sản xuất cũ hơn trên một số thiết bị Lenovo Notebook tiêu dùng bị đưa nhầm vào hình ảnh BIOS có thể cho phép kẻ tấn công có đặc quyền nâng cao sửa đổi vùng bảo vệ phần sụn bằng cách sửa đổi một biến NVRAM. CVE-2021-3972 – Một lỗ hổng tiềm ẩn do trình điều khiển sử dụng trong quá trình sản xuất trên một số thiết bị Lenovo Notebook của người tiêu dùng đã bị vô hiệu hóa do nhầm lẫn có thể cho phép kẻ tấn công có đặc quyền nâng cao sửa đổi cài đặt khởi động an toàn bằng cách sửa đổi một biến NVRAM.
Những điểm yếu ảnh hưởng đến Lenovo Flex; IdeaPads; Quân đoàn; Dòng V14, V15 và V17; và máy tính xách tay Yoga, thêm vào việc tiết lộ tới 50 lỗ hổng phần sụn trong InsydeH2O của Insyde Software, HP UEFI và Dell kể từ đầu năm.
Smolár nói: “Các mối đe dọa UEFI có thể cực kỳ lén lút và nguy hiểm. “Chúng được thực thi sớm trong quá trình khởi động, trước khi chuyển quyền kiểm soát sang hệ điều hành, có nghĩa là chúng có thể bỏ qua hầu hết các biện pháp bảo mật và giảm thiểu cao hơn trong ngăn xếp có thể ngăn không cho thực thi trọng tải hệ điều hành của chúng.”
.
