圖片來源: 

Daniel Joshua on unsplash

繼今年4月之後,聯想筆電再爆有3項UEFI韌體漏洞,可讓攻擊者在受害者電腦上執行任意程式碼,並影響ThinkBook等70餘機型。聯想已於本周釋出修補程式。

這批漏洞是由安全廠商ESET首先揭露並通報,包含3個存在特定款Lenovo筆電UEFI韌體的緩衝溢位(buffer overflow)漏洞,一旦被開採,可能讓攻擊者在平臺開機早期階段執行任意程式碼,而讓它劫持OS執行流程,關閉某些重要的安全功能。

這三項漏洞編號為CVE-2022-1890、CVE-2022-1891及CVE-2022-1892,分別存在於Lenovo產品UEFI韌體上的ReadyBootDxe、SystemLoadDefaultDxe和 SystemBootManagerDxe驅動程式,可讓具有本地權限的攻擊者升級其權限,以便在系統上執行任意程式碼。根據聯想的安全公告,3漏洞屬於中度風險漏洞。

ESET解釋,這批漏洞出在3個驅動程式對UEFI Runtime Service的GetVariable的呼叫中、1個名為DataSize的參數驗證不足,使攻擊者可設計惡意NVRAM(非揮發性隨機存取記憶體,Non-volatile random-access memory)變項,藉由發送2次GetVariable呼叫,藉此造成Data緩衝區的溢位。

研究人員表示,這屬於典型的「double GetVariable」漏洞,也曾在IDA外掛的韌體程式碼中發生,並為名為efiXplorer的研究人員研究過。ESET也在後者的程式碼資料庫加入對這3項漏洞的更新程式碼。

聯想在本周釋出安全公告,列出了受影響的產品,涵括ThinkBook、Yoga、Slim、Ideapad及Flex,共約70多款。三項漏洞中以CVE-2022-1892影響最多機種。相關驅動程式可透過聯想網站下載。

這也是聯想筆電今年以來第2次傳出有UEFI韌體漏洞。上一次是在今年4月,也是由ESET揭露3項可導致植入及執行惡意程式碼的漏洞,影響上百款產品。

熱門新聞

Advertisement