联想官网公告4月19日|eset通报联想笔记本电脑安全漏洞:恶意代码植入主板cpu

联想官网公告4月19日|eset通报联想笔记本电脑安全漏洞:恶意代码植入主板cpu
文章图片
联想官网公告
4月19日 , 知名安全机构ESET正式通报他们发现了三个联想笔记本电脑所存在的安全漏洞 , 分别被命名为CVE-2021-3970、CVE-2021-3971和CVE-2021-3972 。
这些漏洞可以让攻击者将恶意代码植入到主板的UEFI(或者BIOS)的SPI闪存芯片的底层代码中 , 当电脑启动时恶意代码就会自动加载运行 , 可以让攻击者达到篡改用户配置数据等目的 , 绕开某些安全防护软件 。
SMM(SystemManagementMode , 系统管理模式)是x86架构处理器的高特权执行模式 , 一般称为“ring-2” , 它的特权高于内核或和虚拟层 , 拥有自己的内存区段,叫作SMRAM, 。 这部分代码是在系统固件中存储的 , 一般用于执行各种底层任务 , 包括高级电源管理、执行厂商所专有的代码等等 。
联想官网公告4月19日|eset通报联想笔记本电脑安全漏洞:恶意代码植入主板cpu
文章图片
ESET官网公告
它提供了一个独立的运行环境 , 对正在运行的操作系统完全不可见 , SMM中使用的代码和数据存储在硬件保护的内存中 , 只能从SMM中访问 。
要进入SMM , 需要触发一个系统管理中断(SMI) , 这可以通过软件方式或硬件的方式来触发 , 前者被称为“SWSMI”模式 , 后者被称为“HWSMI”模式 , 而英特尔架构的电脑一般采用前者的方式 , 是通过在0xB2IO端口写入数据实现的 。
联想官网公告4月19日|eset通报联想笔记本电脑安全漏洞:恶意代码植入主板cpu】而CVE-2021-3970漏洞是由SWSMI处理函数中的输入验证不当所引起的 , 该漏洞可让攻击者对SMRAM进行任意的读写操作 , 并在后续的SMM执行模式下执行任意代码 。
攻击者可以通过触发软件SMI中断 , 并将特定的缓冲区的物理地址作为参数传递给易受攻击的SWSMI处理程序的方式利用此漏洞 。
联想官网公告4月19日|eset通报联想笔记本电脑安全漏洞:恶意代码植入主板cpu
文章图片
部分受影响的型号
CVE-2021-3971漏洞允许攻击者通过创建NVRAM变量来禁用SPI闪存的写保护机制 , 当电脑固件在启动期间检测到此NVRAM变量时 , 会跳过负责设置BIOS控制寄存器和SPI闪存中的执行代码 , 并允许修改SPI闪存 , 从而允许攻击者将恶意代码直接植入、部署到固件中 。
据悉 , 这些漏洞可能会影响到全球数百万用户 , 和一百多种不同型号的联想笔记本电脑 , 包括IdeaPad、Legion游戏设备以及Flex和Yoga系列 , 详细列表请查阅联想官网说明 。
ESET于2021年10月向联想方面通报了这些漏洞 , 联想于2021年11月确认了这些漏洞 , 并开始着手修复 , 目前这些漏洞均已得到修复 。