黑客可以用不可移除的恶意软件感染超过 100 款联想机型。你打补丁了吗？

2089485250 2025-03-17 15:28 14次浏览 0 条评论线报

不好了

最近3个新爆出的漏洞，以使黑客能够修改计算机的 UEFI。影响超过 100 万台笔记本电脑！UEFI是Unified Extensible Firmware Interface的缩写，是一种将计算机设备固件与其操作系统连接起来的软件。作为几乎任何现代机器开启时运行的第一款软件，它是安全链中的初始环节。由于 UEFI 驻留在主板上的闪存芯片中，因此感染很难检测，甚至更难清除。

其中两个漏洞（跟踪为 CVE-2021-3971 和 CVE-2021-3972）位于 UEFI 固件驱动程序中，仅在联想消费类笔记本电脑的制造过程中使用。联想工程师无意中将驱动程序包含在生产 BIOS 映像中，而没有正确停用。黑客可以利用这些有缺陷的驱动程序来禁用保护，包括 UEFI 安全启动、BIOS 控制寄存器位和受保护的范围寄存器，它们被嵌入到串行外围接口(SPI) 中，旨在防止对其运行的固件进行未经授权的更改。

在发现和分析漏洞后，安全公司 ESET 的研究人员发现了第三个漏洞 CVE-2021-3970。它允许黑客在机器进入系统管理模式时运行恶意固件，这是一种高权限操作模式，通常由硬件制造商用于低级系统管理。

“根据描述，对于足够高级的攻击者来说，这些都是非常‘哦，不’的攻击，”专门研究固件黑客的安全研究员 Trammel Hudson 告诉 Ars。“绕过 SPI 闪存权限非常糟糕。”

仅有的两个在野外使用的恶意 UEFI 固件的记录案例是LoJax，它是由俄罗斯国家黑客组织编写的，有多个名称，包括 Sednit、Fancy Bear 或 APT 28。第二个实例是 UEFI 恶意软件，其安全性卡巴斯基公司在亚洲外交人士的电脑上发现。

ESET 发现的所有三个 Lenovo 漏洞都需要本地访问，这意味着攻击者必须已经以不受限制的权限控制易受攻击的机器。这种访问的门槛很高，可能需要在其他地方利用一个或多个其他关键漏洞，这些漏洞已经使用户面临相当大的风险。

尽管如此，这些漏洞仍然很严重，因为它们可以用恶意软件感染易受攻击的笔记本电脑，这远远超出了更传统的恶意软件通常所能达到的程度。联想在此处列出了 100 多种受影响的型号。