A Lenovo biztonsági közleményt adott ki, amelyben súlyos BIOS sebezhetőségekre figyelmeztet, amik a gyártó több száz termékét érintik, asztali munkaállomásokat, all-in-one gépeket, IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation, ThinkSystem modelleket is beleértve. A hibák kihasználása információ szivárgáshoz, jogosultság kiterjesztéséhez, szolgáltatás megtagadáshoz és bizonyos körülmények között tetszőleges kódfuttatáshoz is vezethet.
A sebezhetőségek a következők:
- CVE-2021-28216: TianoCore EDK II BIOS (az UEFI referencia implementációjának) pointer hiba javítása, amely lehetővé tette a támadó számára a jogosultáságok növelését és tetszőleges kód futtatását.
- CVE-2022-40134: Információszivárgási hiba az SMI Set Bios Password SMI Handlerben, amely lehetővé teszi a támadó számára az SMM memória olvasását.
- CVE-2022-40135: Információszivárgás sebezhetőség a Smart USB Protection SMI Handlerben, amely lehetővé teszi a támadó számára az SMM memória olvasását.
- CVE-2022-40136: Információszivárgási hiba a platformbeállítások WMI-n keresztüli konfigurálására használt SMI Handlerben, ami lehetővé teszi a támadó számára az SMM memória olvasását.
- CVE-2022-40137: Puffer túlcsordulás a WMI SMI Handlerben, ami lehetővé teszi a támadó számára tetszőleges kód futtatását.
- American Megatrends biztonsági fejlesztések (nincs CVE).
Az SMM (Ring -2) az UEFI firmware része, amely olyan rendszerszintű funkciókat biztosít, mint az alacsony-szintű hardvervezérlés és energiagazdálkodás. Az SMM-hez való hozzáférés kiterjeszthető az operációs rendszerre és a RAM-ra, valamint a tárolási erőforrásokra; ezért mind az AMD, mind az Intel kifejlesztette az SMM izolációs mechanizmusait, hogy a felhasználói adatok biztonságban legyenek az alacsony-szintű fenyegetésektől.
A Lenovo a problémákat az érintett termékek legújabb BIOS-frissítéseiben javította. 2022 július és augusztus óta több patch megjelent és elérhető, további javítások szeptember és október végére várhatóak, míg néhány modell csak jövőre kapja meg a frissítéseket.
A biztonsági közlemény tartalmazza az érintett számítógépmodellek teljes listáját, és az egyes sebezhetőségeket orvosló BIOS firmware verziót, valamint az egyes modellek letöltési portáljára mutató linkeket: https://support.lenovo.com/us/en/product_security/LEN-94953#Desktop
A Lenovo számítógép tulajdonosok a Lenovo “Drivers & Software” portálján eszközük nevére rákeresve, majd a “Manual Update” (Kézi frissítés) opciót kiválasztva letölthetik a legújabb elérhető BIOS firmware verziót. https://pcsupport.lenovo.com/hu/en/
