吳明宜25 款聯想筆電再爆 UEFI 安全漏洞 惡意程式可永久寄生電腦甩不掉
安全廠商 ESET 研究人員發現,25 款聯想筆電驅動程式漏洞,可讓駭客關閉 UEFI 安全開機行程,而執行未被簽發的惡意 UEFI App,或是載入 bootloader 而永久躲在電腦成為後門。
受到影響的筆電機種包括 ThinkBook、Yoga Slim 及 IdeaPad 等。
UEFI(Unified Extensible Firmware Interface) 是一個位於快閃晶片上的軟體,負責介接電腦韌體及作業系統,它是現代電腦開機之初第一個執行的程式碼,也是安全開機 (Secure Boot) 機制的關鍵一環;透過 Windows 憑證簽發機制,可阻擋未經簽章驗證的惡意程式載入電腦。
ESET 發現的三項漏洞 CVE-2022-3430、 CVE-2022-3431 和 CVE-2022-3432,可允許駭客從 OS 關閉 UEFI 安全開機機制,或是將安全開機資料庫 (dbx) 回復為出廠預設。
安全開機是利用底層資料庫來啟動或關閉,像是 DBX 資料庫負責儲存被否決的密鑰的雜湊值。關閉或是重置這個資料庫,就可讓攻擊者在電腦內載入有問題的開機程式 (bootloader)。
本次發現的三項漏洞,都可讓成功擴張權限的攻擊者變更 NVRAM 的變項,達到關閉安全開機的目的。NVRAM 是儲存多種開機資訊的非揮發 RAM。
至於這些漏洞怎麼來的,研究人員指出是聯想筆電製造時的疏忽。一般筆電製造過程中,廠商會在筆電加入有後門的驅動程式,正常情況下出貨前會關閉,不過這批筆電出貨前卻因不明原因而未能移除,變成了漏洞。
三隻漏洞分別是:
- CVE-2022-3430:WMI 設定驅動程式的漏洞,可使成功擴大權限的攻擊者變更 NVRAM 變項,以便修改安全開機設定。影響的是聯想消費型筆電。
- CVE-2022-3431:某些聯想消費型筆電出廠前忘了關閉的驅動程式後門,可讓已擴張權限的攻擊者修改 NVRAM 變項,變更(關閉)安全開機設定。
- CVE-2033-3432:和前述漏洞很像,不過只影響 Ideapad Y700-141SK 機種。
聯想只修補了前二項漏洞,第三項漏洞就沒修補,原因是 Ideapad Y700-141SK 機種已經終止支援 (End of Life, EoL),聯想不再支援了。
8 月間安全廠商 Eclypsium 也曾發現 3 隻知名驅動程式,可被用來繞過安全開機,並以更高權限,例如 Windows 管理員或 Linux 的 Root 以執行惡意程式。而 4 月間,ESET 也發現聯想筆電中的 3 隻 UEFI 韌體漏洞,可被用以執行惡意程式碼。
來源:Ars Technica