Некоторые модели ноутбуков Lenovo затрагивают три уязвимости, которые тщательно проанализировала команда ESET.

Уязвимости CVE-2021-3971 и CVE-2021-3972 влияют на драйверы встроенного ПО UEFI. Они изначально предназначенные для использования только в процессе производства потребительских ноутбуков Lenovo. К сожалению, они были ошибочно включены и в производственные образы BIOS без надлежащей деактивации.

Злоумышленник может активировать эти драйверы встроенного ПО, чтобы напрямую отключить защиту флэш-памяти SPI или функцию безопасной загрузки UEFI из процесса привилегированного пользовательского режима.

Третья уязвимость с номером CVE-2021-3970 допускает произвольное чтение/запись из/в памяти SMRAM, что может привести к выполнению вредоносного кода с привилегиями SMM и потенциально привести к развёртыванию флеш-имплантата SPI.

Проблема в том, что уязвимости затрагивают более сотни различных моделей ноутбуков Lenovo. Учитывая объёмы продаж компании, речь идёт о миллионах ноутбуков на руках у пользователей.

Команда ESET сообщила о своих находках в октябре. Тем не менее, Lenovo так до сих пор и не выпустила заплатки для некоторых моделей.