eset通报联想笔记本电脑安全漏洞：恶意代码植入主板cpu 联想官网公告4月19日

文章图片

文章图片

联想官网公告
4月19日，知名安全机构ESET正式通报他们发现了三个联想笔记本电脑所存在的安全漏洞，分别被命名为CVE-2021-3970、CVE-2021-3971和CVE-2021-3972 。
这些漏洞可以让攻击者将恶意代码植入到主板的UEFI（或者BIOS）的SPI闪存芯片的底层代码中，当电脑启动时恶意代码就会自动加载运行，可以让攻击者达到篡改用户配置数据等目的，绕开某些安全防护软件。
SMM（SystemManagementMode ，系统管理模式）是x86架构处理器的高特权执行模式，一般称为“ring-2” ，它的特权高于内核或和虚拟层，拥有自己的内存区段,叫作SMRAM, 。这部分代码是在系统固件中存储的，一般用于执行各种底层任务，包括高级电源管理、执行厂商所专有的代码等等。

文章图片

文章图片

ESET官网公告
它提供了一个独立的运行环境，对正在运行的操作系统完全不可见， SMM中使用的代码和数据存储在硬件保护的内存中，只能从SMM中访问。
要进入SMM ，需要触发一个系统管理中断（SMI），这可以通过软件方式或硬件的方式来触发，前者被称为“SWSMI”模式，后者被称为“HWSMI”模式，而英特尔架构的电脑一般采用前者的方式，是通过在0xB2IO端口写入数据实现的。
而CVE-2021-3970漏洞是由SWSMI处理函数中的输入验证不当所引起的，该漏洞可让攻击者对SMRAM进行任意的读写操作，并在后续的SMM执行模式下执行任意代码。
攻击者可以通过触发软件SMI中断，并将特定的缓冲区的物理地址作为参数传递给易受攻击的SWSMI处理程序的方式利用此漏洞。

文章图片

文章图片

部分受影响的型号
CVE-2021-3971漏洞允许攻击者通过创建NVRAM变量来禁用SPI闪存的写保护机制，当电脑固件在启动期间检测到此NVRAM变量时，会跳过负责设置BIOS控制寄存器和SPI闪存中的执行代码，并允许修改SPI闪存，从而允许攻击者将恶意代码直接植入、部署到固件中。
据悉，这些漏洞可能会影响到全球数百万用户，和一百多种不同型号的联想笔记本电脑，包括IdeaPad、Legion游戏设备以及Flex和Yoga系列，详细列表请查阅联想官网说明。
【eset通报联想笔记本电脑安全漏洞：恶意代码植入主板cpu】ESET于2021年10月向联想方面通报了这些漏洞，联想于2021年11月确认了这些漏洞，并开始着手修复，目前这些漏洞均已得到修复。