thinkpad电脑安全模式,thinkpad安全管家
最新发布的漏洞可以禁用联想ThinkPad笔记本电脑关键区域固件的写保护,其他厂商的笔记本也可能如此。许多新的Windows安全功能,如安全引导、虚拟安全模式和凭证保护,都依赖于要锁定的低级固件。
该漏洞名为ThinkPwn,由名为Dmitro Oleksiuk的研究人员在本周早些时候公布,他没有提前与联想分享。这使得它成为一个零日漏洞——一个没有时间补丁可以披露的漏洞。
ThinkPwn目标的统一可扩展固件接口(UEFI)驱动程序中的特权提升漏洞,使得攻击者能够在闪存写保护和执行SMM(系统管理模式)恶意代码时删除CPU的特权运行模式。
根据Oleksiuk的说法,该漏洞可用于禁用操作系统启动程序的安全启动(UEFI功能)和密码验证,以防止启动级Rootkit的真实性。这个漏洞还可以挫败其使用基于虚拟化的安全,防止企业域凭据被盗,并使Windows 10的凭据保护功能“和其他邪恶的东西。”
UEFI旨在取代传统的BIOS(基本输入/输出系统),其目的是通过参考规范来标准化现代计算机固件。然而,实现仍然可能与计算机制造商大相径庭。
CPU和芯片组制造商(如英特尔和AMD)提供的参考规范由少数独立BIOS供应商(IBV)实施,然后授权给PC制造商。PC制造商从IBV获得这些实现,并进一步定制它们自己。
根据联想的说法,Oleksiuk发现的漏洞不在它自己的UEFI代码中,而是在至少一个尚未为该公司命名的IBV提供的执行中。
周四的咨询“联想参与所有IBV,英特尔确定或排除其他IBV向联想提供的BIOS漏洞的存在,以及该漏洞的代码的原始目的,任何其他实例,”该公司表示。
问题的全部范围尚未确定为漏洞,这也可能会影响联想的其他制造商。在GitHub上的ThinkPwn note上,Oleksiuk表示,在其8系列芯片组英特尔参考代码中出现了一个缺陷,但在2014年的某个时候得到了修复。
“存在这一漏洞的旧英特尔代码很有可能是其他OEM/IBV制造商目前存在的固件,”研究人员说。联想顾问也提出,这可能是一个更广泛的问题,受上市影响,因为范围是“全行业”。
ThinkPwn实现为UEFI应用程序,需要使用UEFI shell从USB闪存驱动器执行。这需要到达目标计算机,这限制了可以使用它的那种攻击者的物理访问。
然而,Oleksiuk表示,通过更多的努力,将有可能利用来自正在运行的操作系统的漏洞,这意味着它可以通过恶意软件向内锁定目标。
在某些情况下,恶意软件注入恶意代码注入UEFI增加了过去的持久性和不可见性。比如意大利监控软件厂商的黑客团队,曾经在阿森纳UEFI的rootkit工作。