Lenovo cập nhật BIOS vá lỗ hổng bảo mật cho hàng trăm mẫu thiết bị

Hãng sản xuất máy tính Trung Quốc Lenovo vừa phát hành một tư vấn bảo mật để cảnh báo về một số lỗ hổng BIOS có mức độ nghiêm trọng cao, ảnh hưởng đến hàng trăm thiết bị thuộc các dòng máy khác nhau (Desktop, All in One, IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation, ThinkSystem).

Nếu bị khai thác, các lỗ hổng này có thể dẫn tới tiết lộ thông tin, leo thang đặc quyền, từ chối dịch vụ và trong một số trường hợp là thực thi code tùy ý.

Các lỗ hổng được đề cập tới trong tư vấn bảo mật của Lenovo gồm:

• CVE-2021-28216: Khắc phục lỗi con trỏ trong TianoCore EDK III BIOS (triển khai tham chiếu của UEFI), cho phép hacker nâng cao đặc quyền và thực thi code tùy ý.
• CVE-2022-40135: Lỗ hổng rò rỉ thông tin trong Trình xử lý SMI Bảo vệ USB thông minh, cho phép hacker đọc bộ nhớ SMM.
• CVE-2022-40136: Lỗ hổng rò rỉ thông tin trong Trình xử lý SMI được sử dụng để xác định cấu hình cài đặt nền tảng qua WMI, cho phép hacker đọc bộ nhớ SMM.
• CVE-2022-40137: Tràn bộ đệm trong Trình xử lý WMI SMI, cho phép hacker thực thi code tùy ý.
• Các cải thiện bảo mật của American Megatrends (không được gán mã CVE).

SMM (Ring-2) là một phần của firmware UEFI cung cấp các chức năng trên toàn hệ thống như điều khiển phần cứng cấp thấp và quản lý điện năng.

Quyền truy cập vào SMM có thể được mở rộng cho hệ điều hành và RAM, và tài nguyên lưu trữ, đó là lý do tại sao cả AMD và Intel đều phát triển cơ chế cách ly SMM để giữ cho dữ liệu người dùng an toàn trước các mối đe dọa cấp thấp.

Biện pháp khắc phục

Lenovo đã khắc phục vấn đề trong các bản cập nhật BIOS mới nhất cho các sản phẩm bị ảnh hưởng. Hầu hết các bản vá lỗi đã được phát hành từ tháng 7 và tháng 8/2022.

Các bản vá bổ sung dự kiến sẽ được tung ra vào cuối tháng 9 và tháng 10 trong khi một số ít thiết bị sẽ nhận được bản vá vào năm sau. Để xem chi tiết các mẫu máy tính bị ảnh hưởng và phiên bản firmware BIOS khắc phục vấn đề tương ứng bạn có thể truy cập bảng tin bảo mật của Lenovo qua link dưới đây:

• Bảng tin bảo mật của Lenovo

Ngoài ra, chủ sở hữu máy tính Lenovo có thể truy cập vào trang tải driver và phần mềm của Lenovo sau đó tìm kiếm dựa theo tên sản phẩm, chọn cập nhật thủ công và tải về phiên bản firmware BIOS mới nhất.