بیش از ۱۰۰ لپتاپ مختلف لنوو، که توسط میلیونها نفر در سراسر جهان استفاده میشود، دارای آسیبپذیری در سطح میانافزار هستند که به خرابکاران راهی برای نصب بدافزارهایی میدهد که میتوانند حتی پس از تعویض هارد دیسک یا نصب مجدد سیستم عامل روی سیستم باقی بمانند.
دو مورد از آسیبپذیریها (CVE-2021-3971 و CVE-2021-3972) شامل درایورهای UEFI هستند که فقط برای استفاده در طول فرآیند تولید در نظر گرفته شده بودند، اما به طور ناخواسته بخشی از ایمج بایوس لپتاپها شدند. سومین آسیبپذیری (CVE-2021-3970) یک اشکال خرابی حافظه در عملکرد شناسایی و ثبت خطاهای سیستم است.
ESET آسیبپذیریها را کشف و آنها را در اکتبر ۲۰۲۱ به Lenovo گزارش داد. سازنده سختافزار این هفته بهروزرسانیهای BIOS را منتشر کرد که نقصها را در همه مدلهای آسیبدیده برطرف میکند. با این حال، کاربران باید بهروزرسانیها را بهصورت دستی نصب کنند، مگر اینکه ابزارهای خودکار لنوو برای بهروزرسانی را داشته باشند.
میانافزار UEFI امنیت و یکپارچگی سیستم را هنگام بوت شدن کامپیوتر تضمین می کند. این میانافزار حاوی اطلاعاتی است که رایانه به طور ضمنی به آنها اعتماد دارد و هنگام راهاندازی از آن استفاده میکند. بنابراین، هر کد مخربی که در میانافزار تعبیه شده باشد، قبل از راهاندازی کامپیوتر و قبل از اینکه ابزارهای امنیتی فرصتی برای بازرسی سیستم از نظر تهدیدات و آسیبپذیریهای احتمالی داشته باشند، اجرا میشود.
در سالهای اخیر، چندین بدافزار توسعه پیدا کردهاند که برای تغییر میانافزار UEFI جهت نصب بدافزار در طول فرآیند راهاندازی ظاهراً ایمن طراحی شدهاند. یک مثال LoJax است، یک روتکیت بسیار پایدار در سطح میانافزار که به عنوان بخشی از یک کمپین بدافزار توسط گروه Sednit روسیه استفاده شده است. مثال دیگر MoonBounce است، یک برنامه مخرب در سطح میانافزار که به عنوان بخشی از یک کمپین جاسوسی سایبری استفاده شده است.
در همین حال، CVE-2021-3970، سومین آسیبپذیری که محققان ESET کشف کردند، اجازه خواندن و نوشتن را از و داخل SM RAM میدهد – SMRAM بخشی از حافظه سیستم است که توسط پردازنده برای ذخیره کد مورد استفاده SMM استفاده می شود. به گفته ESET، این به مهاجمان فرصتی برای اجرای کد با امتیازات مدیریت سیستم در سیستمهای آسیبپذیر میدهد.
