6.8средняя
BDU:2022-02510
Уязвимость драйвера ChgBootDxeHook микропрограммного обеспечения BIOS ноутбуков Lenovo, позволяющая нарушителю выполнять вредоносные драйверы и приложения во время загрузки
Опубликовано: 2022-04-21
Описание
Уязвимость драйвера ChgBootDxeHook микропрограммного обеспечения BIOS ноутбуков Lenovo связана с возможностью изменения настроек безопасной загрузки путем редактирования переменной NVRAM. Эксплуатация уязвимости может позволить нарушителю выполнять вредоносные драйверы и приложения во время загрузки
Затрагиваемое ПО и версии
IdeaPad 3 15ADA05 (до E8CN33WW)IdeaPad 3-14ADA05 (до E8CN33WW)IdeaPad 3-14ADA6 (до HBCN21WW)IdeaPad 3-14ALC6 (до GLCN43WW)IdeaPad 3-14ARE05 (до dzcn42ww)IdeaPad 3-15ADA6 (до HBCN21WW)IdeaPad 3-15ALC6 (до GLCN43WW)IdeaPad 3-15ARE05 (до DZCN42WW)IdeaPad 3-15IGL05 (до DVCN23WW)IdeaPad 3-17ADA05 (до E8CN33WW)IdeaPad 3-17ADA6 (до HBCN21WW)IdeaPad 3-17ALC6 (до GLCN43WW)IdeaPad 3-17ARE05 (до DZCN42WW)IdeaPad 3-17IIL05 (до EMCN52WW)IdeaPad L3 15ITL6 (до GFCN23WW)Ideapad Gaming L340-15IRH (до BGCN35WW)IdeaPad L340-15IWL (до ATCN46WW)Ideapad L340-17IRH (до BGCN35WW)Ideapad L340-17IWL (до ATCN46WW)Legion 5 Pro-16ACH6 (до HHCN25WW)Legion 5 Pro-16ACH6H (до GKCN51WW)Legion 5 Pro-16ITH6 (до H1CN46WW)Legion 5 Pro-16ITH6H (до H1CN46WW)Legion 5-15ACH6 (до HHCN25WW)Legion 5-15ACH6A (до G9CN28WW)Legion 5-15ACH6H (до GKCN51WW)Legion 5-15ITH6 (до H1CN46WW)Legion 5-15ITH6H (до H1CN46WW)Legion 5-17ACH6 (до HHCN25WW)Legion 5-17ACH6H (до GKCN51WW)
Способ устранения
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Разработка компенсирующих мер, полностью нейтрализующих возможность эксплуатации уязвимости, не представляется возможной.
Компенсирующие меры:
- использование программного обеспечения для шифрования с поддержкой TPM в целях предотвращения получения доступа к информации, если конфигурация безопасной загрузки UEFI изменена;
- выявление и исключение (блокирование) вредоносного драйвера ChgBootDxeHook из микропрограммного обеспечения UEFI ноутбуков Lenovo.
Информация от производителя:
https://support.lenovo.com/us/en/product_security/LEN-73440
Оценка CVSS
| Балл | 6.8 — средняя опасность |
Источники и патчи