联想发布了一份安全公告，内容涉及影响其至少 100 台笔记本电脑型号上加载的统一可扩展固件接口 (UEFI) 的漏洞。

总共发现了三个安全问题，其中两个允许攻击者禁用对存储 UEFI 固件的 SPI 闪存芯片的保护并关闭 UEFI 安全启动功能，从而确保系统仅在启动时加载原始设备制造商 (OEM) 信任的代码。

成功利用标识为CVE-2021-3970的第三个漏洞可能允许本地攻击者以提升的权限执行任意代码。

这三个漏洞均由 ESET 研究人员发现，并于去年 10 月负责任地向联想报告。它们影响了 100 多种消费类笔记本电脑型号，包括 IdeaPad 3、Legion 5 Pro-16ACH6 H 和 Yoga Slim 9-14ITL05，这可能会转化为数百万使用易受攻击设备的用户。

错误添加的驱动程序
ESET 的研究人员警告说，攻击者可以利用这两个与 UEFI 相关的漏洞（CVE-2021-3971和CVE-2021-3972 ）“部署并成功执行 SPI 闪存或 ESP 植入”。

联想产品中与 UEFI 相关的两个安全问题都是由于在生产中引入了两个 UEFI 固件驱动程序——恰当地命名为 SecureBackDoor 和 SecureBackDoorPeim——它们仅在制造过程中使用。来自联想的安全公告描述了这样的漏洞：

CVE-2021-3971：在一些消费者联想笔记本设备的旧制造过程中使用的驱动程序存在潜在漏洞，错误地包含在 BIOS 映像中，可能允许具有提升权限的攻击者通过修改 NVRAM 变量来修改固件保护区域。
CVE-2021-3972：在某些消费者联想笔记本设备的制造过程中使用的驱动程序存在潜在漏洞，该驱动程序错误地未停用，可能允许具有提升权限的攻击者通过修改 NVRAM 变量来修改安全启动设置。
此处提供了受这三个漏洞中每一个漏洞影响的联想笔记本电脑型号的完整列表。

UEFI 植入物难以检测
ESET 对发现的三个漏洞提供了详细的技术分析，指出“UEFI 威胁可能非常隐蔽和危险”，因为它们“在启动过程的早期执行，然后将控制权转移到操作系统”。

这意味着大多数在操作系统级别活动的缓解措施和安全解决方案都是无用的，有效负载的执行几乎是不可避免和不可检测的。

检测它们是可能的，尽管该过程需要更高级的技术，例如 UEFI 完整性检查、实时分析固件或监控固件行为和设备是否存在可疑活动。

这家网络安全公司过去曾发现过两种此类植入物，均被威胁行为者在野外使用：
Lojax - 于 2018 年发现并被俄罗斯国家支持的演员使用，被追踪为 APT28、Fancy Bear、Sednit、Strontium 和 Sofacy
ESPecter - 于 2021 年确定并自 2012 年起活跃（作为基于 BIOS 的系统的引导套件），用于在 EFI 系统分区 (ESP) 上保持持久性

不过，这些并不是唯一发现的 UEFI 威胁。卡巴斯基在 2020 年发布了有关MosaicRegressor的报告，2021 年发布了FinSpy报告，以及今年 1 月的MoonBounce报告。

为防止上述漏洞引发的攻击，Lenovo 建议受影响设备的用户将系统固件版本更新到可用的最新版本。

这可以通过从设备的支持页面手动安装更新或借助公司提供的用于更新系统驱动程序的实用程序来完成。