Дослідники компанії ESET виявили та проаналізували три вразливості, що стосуються різних моделей ноутбуків Lenovo. Перші дві – CVE-2021-3971, CVE-2021-3972 – впливають на драйвери вбудованого ПЗ UEFI, що спочатку призначені для використання тільки в процесі виробництва споживчих ноутбуків Lenovo. На жаль, вони були помилково включені у виробничі образи BIOS без належної деактивації.
Зловмисник може активувати ці драйвери вбудованого ПЗ, щоб безпосередньо вимкнути захист флеш-пам’яті SPI або функцію безпечного завантаження UEFI з процесу привілейованого режиму користувача.
Третя вразливість з номером CVE-2021-3970 допускає довільне читання/запис із пам’яті SMRAM, що може призвести до виконання шкідливого коду з привілеями SMM і потенційно призвести до розгортання флеш-імплантата SPI.
Проблема в тому, що вразливі зачіпають понад сотню різних моделей ноутбуків Lenovo. Враховуючи обсяги продажів компанії, йдеться про мільйони ноутбуків на руках у користувачів. При цьому частина моделей так і не отримає жодних патчів, тому що їх термін підтримки минув. Наприклад, це Ideapad 330-15IGM та Ideapad 110-15IGR. Джерело