Китайская компания по производству бытовой электроники Lenovo выпустила исправления, которые содержат три ошибки безопасности в прошивке UEFI, затрагивающие более 70 моделей продуктов. С начала этого года компания уже во второй раз сообщает об уязвимостях безопасности UEFI для своих продуктов.
Модель ThinkBook также имеет уязвимости
По данным словацкой фирмы по кибербезопасности ESET, которая обнаружила уязвимости, недостатки могут быть использованы для выполнения произвольного кода на ранних стадиях загрузки платформы, что, возможно, позволяет злоумышленникам перехватить процесс выполнения ОС и отключить некоторые важные функции безопасности. Проблема заключается в типичной уязвимости UEFI “double GetVariable”, которая также может быть идентифицирована в коде прошивки с помощью превосходного плагина IDA efiXplorer.
В BIOS ноутбуков Lenovo были обнаружены следующие уязвимости;
CVE-2021-3970: потенциальная уязвимость в LenovoVariable SMI-обработчике из-за недостаточной проверки в некоторых моделях ноутбуков Lenovo может позволить злоумышленнику с локальным доступом и повышенными привилегиями выполнять произвольный код.
CVE-2021-3971: потенциальная уязвимость драйвера, используемого в старых производственных процессах на некоторых потребительских ноутбуках Lenovo, которая была ошибочно включена в образ BIOS, может позволить злоумышленнику с повышенными привилегиями изменять область защиты встроенного ПО путем изменения переменной NVRAM.
CVE-2021-3972: потенциальная уязвимость драйвера, используемого в процессе производства на некоторых потребительских ноутбуках Lenovo, которые по ошибке не были деактивированы, может позволить злоумышленнику с повышенными привилегиями изменить настройки безопасной загрузки, изменив переменную NVRAM.
Недостатки связаны с плохой проверкой переменной NVRAM под названием “DataSize” в трех разных драйверах: ReadyBootDxe, SystemLoadDefaultDxe и SystemBootManagerDxe.Китайская компания рекомендует обновить системную прошивку до версии (или более новой) для затронутых моделей, включая модель ThinkBook.
Это второй случай, когда Lenovo исправляет уязвимости безопасности UEFI. В апреле компания исправила три ошибки (CVE-2021-3970, CVE-2021-3971 и CVE-2021-3972). Недостатки в обоих случаях были обнаружены Мартином Смоляром из ESET.