系统管理模式（SMM）BIOS 漏洞-联想乐享知识库

系统管理模式（SMM）BIOS 漏洞 分类:Y系列 问题:漏洞与防护 故障现象: Lenovo 安全公告：LEN-8324 潜在影响：拥有本地管理员级访问权限的攻击者执行 SMM 中的代码 严重性：高 影响范围：全行业 Lenovo 产品安全事件响应团队（PSIRT）已经充分注意到由单独的研究员擅自披露的、位于系统管理模式（SMM）代码中的 BIOS 漏洞，该漏洞可对 Lenovo 及其他制造商的 PC 设备造成影响。在该研究员通过社交媒体声明其将披露 Lenovo 产品中存在的一个 BIOS 级漏洞后不久，Lenovo PSIRT 几次试图赶在该研究员发布该信息之前与其进行协商，但均以失败告终。 根据该独立研究员公开发布的概念验证，需要有物理访问权限才能对存在漏洞的设备进行利用。成功利用该漏洞会绕过用户计算机上的安全控件。然而，对该漏洞的利用方式可能会扩展至其他公开的利用方式，例如带有恶意企图的个人或群体借助现有的其他漏洞利用工具来利用该漏洞，或是开发新的漏洞利用工具。 进一步调查发现，该代码是由 Intel 创建的，原本计划用于合法用途，即为软件开发者提供一种途径来支持系统管理模式（SMM）驱动程序注册和下载，以便在 BIOS 软件上使用。更确切地说，该代码提供了一个协议数据库，并针对基于 Framework/EDK I 的 SMM 驱动程序提供了其他服务。它还允许启动服务驱动程序（具体而言，是双模式 DXE SMM 驱动程序）也重新加载到 SMM 中，从而令一条代码用于多种用途。这一具体实施方案并未在 EDK I 的后续版本（即 EDK II）中推进，相反，EDK II 采用了一种不同的方式，旨在通过原始实施方案来解决非安全相关的功能问题。 存在 SMM 漏洞的代码包是由至少一名独立 BIOS 供应商（IBV）提供给 Lenovo 的，并且是在由 Intel 提供给 IBV 的通用代码基上进行开发的。独立 BIOS 供应商（IBV）是指专业开发自定义 BIOS 固件的软件开发公司。自定义 BIOS 固件会加载到原始设备制造商（包括 Lenovo）的 PC 中。按照行业标准惯例，IBV 从芯片供应商（如 Intel 或 AMD）创建的通用代码基入手，增加了更多专门用于特定计算机的代码层。Lenovo 目前与业内三家最大的 IBV 存在合作关系。 Lenovo 致力于保障自身产品的安全性，并与其 IBV 以及 Intel 一起合作开发修复程序，以期尽快消除此漏洞。关于该修复程序的更多信息会尽快在本安全公告页面上发布。 解决方案: 应采取哪些措施进行自我保护： 格外关注安全性的用户应考虑采取以下建议的缓解措施，以尽最大可能进行自我保护（但应了解，这些措施并不能修复漏洞或完全防范漏洞被利用带来的影响）： 启用系统上的安全引导 禁用 Boot to UEFI Shell 设置 BIOS 设置密码，避免安全引导被禁用以及 Boot to UEFI Shell 被重新启用 使用 Windows 时以未经授权的用户（非管理员）身份操作 仅运行来自已知来源的可信任代码 强烈建议用户关注本公告页面，获取有关修复程序发布时间和可用性的更多信息。 产品影响： 桌面 产品 状态 Erazer X700 台式机 未受影响 IdeaCentre 200 未受影响 IdeaCentre 300-20IBR 未受影响 IdeaCentre 300-20ISH 未受影响 IdeaCentre 300S-11IBR 未受影响 IdeaCentre 300S-11ISH 未受影响 IdeaCentre 510S-08ISH 未受影响 IdeaCentre 700 未受影响 IdeaCentre Stick 未受影响 Lenovo 63 未受影响 Lenovo B2200 未受影响 Lenovo B3300 未受影响 Lenovo B5900 未受影响 Lenovo D5005 未受影响 Lenovo D5055 未受影响 Lenovo E50-00 台式机 未受影响 Lenovo E50-05 未受影响 Lenovo G5010 未受影响 Lenovo H3000 未受影响 Lenovo H30-00 台式机 未受影响 Lenovo H3005 未受影响 Lenovo H30-05 台式机 未受影响 Lenovo H3050 未受影响 Lenovo H30-50 台式机 未受影响 Lenovo H50-00 台式机 未受影响 Lenovo H5005 未受影响 Lenovo H50-05 台式机 未受影响 Lenovo H50-30g 台式机 未受影响 Lenovo H5050 未受影响 Lenovo H50-50 台式机 未受影响 Lenovo M2200 未受影响 Lenovo M3300 未受影响 Lenovo M4350 台式机 未受影响 Lenovo M4360 ID 未受影响 Lenovo M4500 未受影响 Lenovo M4500 ID 未受影响 Lenovo M4550 ID 未受影响 Lenovo M5900 未受影响 Lenovo M5900n - 仅限中国 未受影响 Lenovo S200 未受影响 Lenovo S500 未受影响 QITIAN 4500 未受影响 QITIAN 4500-C 未受影响 QITIAN B2200 未受影响 QITIAN B2300 未受影响 QITIAN B3300 未受影响 QITIAN B4550 未受影响 QITIAN B4650 未受影响 QITIAN B5900 未受影响 QITIAN M2200 未受影响 QITIAN M2300 未受影响 QITIAN M3300 未受影响 QITIAN M4550 未受影响 QITIAN M4600 未受影响 QITIAN M4650 未受影响 QITIAN M5900 未受影响 ThinkCentre Chromebox 未受影响 ThinkCentre E73 (SFF) 未受影响 ThinkCentre E73 (TWR) 未受影响 ThinkCentre E73s 未受影响 ThinkCentre E74 未受影响 ThinkCentre E74s 未受影响 ThinkCentre E79 未受影响 ThinkCentre E93 (SFF) 未受影响 ThinkCentre E93 (TWR) 未受影响 ThinkCentre Edge 72 未受影响 ThinkCentre M3500q 未受影响 ThinkCentre M4350t/s 未受影响 ThinkCentre M4500k 未受影响 ThinkCentre M4500q 未受影响 ThinkCentre M4500t/s 未受影响 ThinkCentre M4600t/s 未受影响 ThinkCentre M53（Tiny） 未受影响 ThinkCentre M600 未受影响 ThinkCentre M6500t/s 未受影响 ThinkCentre M6600 未受影响 ThinkCentre M6600q 未受影响 ThinkCen