繼去年的Superfish後,一名獨立安全研究人員發現,聯想ThinkPad筆電系列的韌體再出現未修補的漏洞,可使駭客取得管理權限而執行任意程式碼。此外,傳出其他品牌電腦也在受害之列。
自稱為Dmytro Oleksiuk的網友指出,名為ThinkPwn的零時權限升級漏洞存在聯想筆電韌體的SystemSmmRuntimeRt UEFI 驅動程式中。它可讓駭客經由在聯想產品的System Management Mode (SMM)中執行任意程式碼,關閉快閃記憶體的寫入防護而感染平台韌體、關閉Secure Boot、繞過Windows 10 Enterpirse的Virtual Secure Mode而遂行惡意目的行為。
根據這名研究人員,聯想ThinkPad全系列筆電都受到影響,從X220到T450。
這名研究人員並發現該漏洞程式碼也出現在Intel 8系列晶片組的參考程式中,目前這些程式碼雖未公開,但也存在Intel主機板的開源韌體中。
聯想也在安全公告中證實了這項漏洞,並將之列為高風險漏洞。聯想解釋,SMM的漏洞程式碼是來自外部獨立BIOS廠商(IBV),他們是在Intel或AMD等晶片廠商的程式碼加上數層針對特定電腦撰寫的程式碼,再提供給包括聯想等系統業者。聯想並表示,正在和三家IBV及Intel合作排除這項漏洞問題,因為該研究人員在聯想準備好修補程式前即已公佈漏洞資訊。
由於問題出在韌體,因此受害範圍可能更廣。除了聯想ThinkPad外,另一名為Alex James的研究人員指出,在HP Pavillion dv7-4087cl筆電中的Insyde EFI韌體、技嘉電腦Z77X-UD5H及其他多款產品,都出現該漏洞。不過HP及技嘉都未對此回應。
去年聯想多款電腦爆出預載Superfish惡意廣告程式,除了擅自呈現擾人廣告外,還會冒充合法網站的SSL憑證而讓用戶曝露於中間人攻擊的風險,引起爭議後迫使聯想致歉並提供移除工具。