联想生产的多款笔记本电脑使用的UEFI固件存在三个缓冲区溢出漏洞,攻击者可以利用这些漏洞劫持Windows安装的启动程序。
联想发布了一份安全报告,披露了三个中等严重程度的漏洞,分别是CVE-2022-1890、CVE-2022-1891和CVE-2022-1892。
第一个是一些联想笔记本产品中使用的ReadyBootDxe驱动程序的问题,后两个是SystemLoadDefaultDxe驱动程序中的缓冲区溢出漏洞。
第二种驱动程序用于Yoga、IdeaPad、Flex、ThinkBook、V14、V15、V130、Slim、S145、S540和S940的联想产品线,影响超过70种型号。
有关受影响机型的更多信息,请查看联想产品影响表
据安全公司称,攻击者可以利用它们劫持操作系统执行流程并禁用安全功能。
“这些漏洞是由于传递给 UEFI 运行时服务函数 GetVariable 的 DataSize 参数验证不充分引起的,”ESET Research 解释称。
“攻击者可以创建一个特殊的NVRAM变量,导致在第二次调用GetVariable时数据缓冲区溢出。”
劫持操作系统
UEFI 固件攻击非常危险,因为它们使威胁参与者能够在操作系统启动过程的早期阶段运行恶意软件,甚至在 Windows 内置安全保护被激活之前。
这种早期级别的访问允许恶意软件绕过或禁用操作系统级别的安全保护,逃避检测,甚至在磁盘被格式化后仍然存在。
虽然低技能的远程黑客不能轻易利用这些漏洞,但更有能力的黑客可以访问目标机器,利用这些漏洞进行无声但超级强大的妥协。
为解决安全风险,建议受影响设备的用户在联想官方软件下载门户下载对应产品的最新可用驱动版本。
如果你无法确定你使用的是哪种型号,可通过联想提供的一款自动在线检测器。
来源: