Lenovo 产品安全事件响应团队(PSIRT)已经充分注意到由单独的研究员擅自披露的、位于系统管理模式(SMM)代码中的 BIOS 漏洞,该漏洞可对 Lenovo 及其他制造商的 PC 设备造成影响。在该研究员通过社交媒体声明其将披露 Lenovo 产品中存在的一个 BIOS 级漏洞后不久,Lenovo PSIRT 几次试图赶在该研究员发布该信息之前与其进行协商,但均以失败告终。
根据该独立研究员公开发布的概念验证,需要有物理访问权限才能对存在漏洞的设备进行利用。成功利用该漏洞会绕过用户计算机上的安全控件。然而,对该漏洞的利用方式可能会扩展至其他公开的利用方式,例如带有恶意企图的个人或群体借助现有的其他漏洞利用工具来利用该漏洞,或是开发新的漏洞利用工具。
进一步调查发现,该代码是由 Intel 创建的,原本计划用于合法用途,即为软件开发者提供一种途径来支持系统管理模式(SMM)驱动程序注册和下载,以便在 BIOS 软件上使用。更确切地说,该代码提供了一个协议数据库,并针对基于 Framework/EDK I 的 SMM 驱动程序提供了其他服务。它还允许启动服务驱动程序(具体而言,是双模式 DXE SMM 驱动程序)也重新加载到 SMM 中,从而令一条代码用于多种用途。这一具体实施方案并未在 EDK I 的后续版本(即 EDK II)中推进,相反,EDK II 采用了一种不同的方式,旨在通过原始实施方案来解决非安全相关的功能问题。
存在 SMM 漏洞的代码包是由至少一名独立 BIOS 供应商(IBV)提供给 Lenovo 的,并且是在由 Intel 提供给 IBV 的通用代码基上进行开发的。独立 BIOS 供应商(IBV)是指专业开发自定义 BIOS 固件的软件开发公司。自定义 BIOS 固件会加载到原始设备制造商(包括 Lenovo)的 PC 中。按照行业标准惯例,IBV 从芯片供应商(如 Intel 或 AMD)创建的通用代码基入手,增加了更多专门用于特定计算机的代码层。Lenovo 目前与业内三家最大的 IBV 存在合作关系。
Lenovo 致力于保障自身产品的安全性,并与其 IBV 以及 Intel 一起合作开发修复程序,以期尽快消除此漏洞。关于该修复程序的更多信息会尽快在本安全公告页面上发布。
发表于 2016-12-21 09:52
|