吳明宜宏碁修補了一項影響 5 款消費性筆電的高風險漏洞,讓漏洞可讓本地攻擊者關閉 UEFI 安全開機功能、繞過安全防護而在目標系統安裝惡意程式。
安全開機功能可結合信任平台模組 (TPM) 晶片及 UEFI(Unified Extensible Firmware Interface) 韌體防止不受信任的系統開機程式,防止 rootkit 和 bootkit 等惡意程式碼在開機階段載入電腦。
這編號 CVE-2022-4020 的漏洞是由 ESET 研究人員 Martin Smolar 發現,存在宏碁部份消費型筆電的 HQSwSmiDxe DXE 驅動程式。具備較高權限的攻擊者可以修改 Secure Boot 設定中的 BootOrderSecureBootDisable NVRAM 變項,即可關閉安全開機功能,不需用戶互動。變項值不重要,只要有一個值,就能讓驅動程式接受,而成功利用漏洞。
本漏洞遭到利用後,攻擊者就能劫持 OS 載入過程,可把沒有合法簽章的開機程式載入到電腦,由其安裝具系統權限的惡意程式碼。
受 CVE-2022-4020 影響的宏碁電腦包括 Acer Aspire A315-22 、 A115-21 、 A315-22G 、 Extensa EX215-21 和 EX215-21G 。
宏碁建議使用者更新 BIOS 到最新版,以解決這項漏洞。透過 Windows Update 安裝 Windows 更新即可獲得最新 BIOS 。使用者也可直接到用戶支援網站手動下載 BIOS 更新。
ESET 研究人員 11 月初才揭露聯想電腦 3 項漏洞,CVE-2022-3430 、 CVE-2022-3431 和 CVE-2022-3432,可讓駭客從 OS 關閉 UEFI 安全開機機制,或是將安全開機資料庫 (dbx) 回復為出廠預設。 3 漏洞影響 ThinkBook 、 Yoga Slim 及 IdeaPad 等 25 款聯想筆電。