最近開示された3つ (パッチを適用しました), Lenovoの影響の大きいBIOSセキュリティの脆弱性は、UEFIにつながる可能性があります (Unified Extensible Firmware Interface) 攻撃.
セキュリティ研究者のMartinSmolárによって発見され、次の識別子が割り当てられましたCVE-2021-3970, CVE-2021-3971, およびCVE-2021-3972, この欠陥を利用して、SPIフラッシュインプラントの形でUEFIマルウェアを展開および実行することができます。, そのような LoJax およびESP, LenovoNotebookBIOSで.
どうやら, 脆弱性はより多くの影響を及ぼします 100 世界中に数百万人のユーザーがいる消費者向けラップトップモデル. 欠陥がLenovoの製品開発段階でのみ使用されることを意図されたドライバーによって引き起こされたことも注目に値します. The 脆弱なデバイスのリスト 手頃な価格のモデルと高価なモデルの両方が含まれています, Ideapad-3などからLegionなどのモデルへ 5 Pro-16ACH6HまたはYogaSlim9-14ITL05.
CVE-2021-3970の詳細, CVE-2021-3971, およびCVE-2021-3972
Lenovoの勧告によると, 3つの脆弱性が前述のLenovoモデルにどのように影響するかを次に示します。:
CVE-2021-3970は、「LenovoVariable SMIハンドラーの潜在的な脆弱性」として説明されています。これは、一部のLenovo Notebookモデルでの検証が不十分であり、ローカルアクセスと昇格された特権を持つ攻撃者が任意のコードを実行できる可能性があるためです。.
CVE-2021-3971は、一部の消費者向けLenovoNotebookデバイスで古い製造プロセス中に使用されたドライバーによって引き起こされる潜在的な脆弱性です。. ドライバーが誤ってBIOSイメージに含まれており、昇格された特権を持つ攻撃者がNVRAM変数を変更することでファームウェア保護領域を変更できる可能性があります.
CVE-2021-3972は潜在的な脆弱性です, 一部の消費者向けLenovoノートブックデバイスの製造プロセス中に使用されたドライバーによっても発生します. ドライバーが誤って非アクティブ化されておらず、昇格された特権を持つ攻撃者がNVRAM変数を変更することでセキュアブート設定を変更できる可能性があります.
デバイスを更新する方法の詳細については、 Lenovoのアドバイザリ.
2月中 2022, 最低 23 新しいセキュリティの脆弱性 複数のベンダーによって実装されたUEFIファームウェアのさまざまな実装で発見されました, HPなど, Lenovo, ジュニパーネットワークス, と富士通.
欠陥は、InsydeSoftwareのInsydeH2OUEFIファームウェアにありました。, ほとんどの欠陥はSMMモードに起因します (システムマネジメント).
UEFIとは?
Unified Extensible Firmware Interface (UEFI) コンピュータのファームウェアをオペレーティングシステムに接続するテクノロジです. UEFIの目的は、最終的にレガシーBIOSを置き換えることです. 技術は製造中にインストールされます. これは、コンピューターの起動時に実行される最初のプログラムでもあります。.