吳明宜宏碁電腦驅動程式漏洞可使攻擊者關閉UEFI安全開機保護 5機種受影響
宏碁修補了一項影響5款消費性筆電的高風險漏洞,讓漏洞可讓本地攻擊者關閉UEFI安全開機功能、繞過安全防護而在目標系統安裝惡意程式。
安全開機功能可結合信任平台模組(TPM)晶片及UEFI(Unified Extensible Firmware Interface)韌體防止不受信任的系統開機程式,防止rootkit和bootkit等惡意程式碼在開機階段載入電腦。
這編號CVE-2022-4020的漏洞是由ESET研究人員Martin Smolar發現,存在宏碁部份消費型筆電的HQSwSmiDxe DXE驅動程式。具備較高權限的攻擊者可以修改Secure Boot設定中的BootOrderSecureBootDisable NVRAM變項,即可關閉安全開機功能,不需用戶互動。變項值不重要,只要有一個值,就能讓驅動程式接受,而成功利用漏洞。
本漏洞遭到利用後,攻擊者就能劫持OS載入過程,可把沒有合法簽章的開機程式載入到電腦,由其安裝具系統權限的惡意程式碼。
受CVE-2022-4020影響的宏碁電腦包括Acer Aspire A315-22、A115-21、 A315-22G、 Extensa EX215-21和EX215-21G。
宏碁建議使用者更新BIOS到最新版,以解決這項漏洞。透過Windows Update安裝Windows更新即可獲得最新BIOS。使用者也可直接到用戶支援網站手動下載BIOS更新。
ESET研究人員11月初才揭露聯想電腦3項漏洞,CVE-2022-3430、 CVE-2022-3431和CVE-2022-3432,可讓駭客從OS關閉UEFI安全開機機制,或是將安全開機資料庫(dbx)回復為出廠預設。3漏洞影響ThinkBook、Yoga Slim及IdeaPad等25款聯想筆電。