BDU:2022-02510

Опубликовано: 18 апр. 2022

Источник: fstec

CVSS3: 6.7

CVSS2: 6.8

Описание

Уязвимость драйвера ChgBootDxeHook микропрограммного обеспечения BIOS ноутбуков Lenovo связана с возможностью изменения настроек безопасной загрузки путем редактирования переменной NVRAM. Эксплуатация уязвимости может позволить нарушителю выполнять вредоносные драйверы и приложения во время загрузки

Вендор

Lenovo Group Limited

Наименование ПО

IdeaPad 3 15ADA05

IdeaPad 3-14ADA05

IdeaPad 3-14ADA6

IdeaPad 3-14ALC6

IdeaPad 3-14ARE05

IdeaPad 3-15ADA6

IdeaPad 3-15ALC6

IdeaPad 3-15ARE05

IdeaPad 3-15IGL05

IdeaPad 3-17ADA05

IdeaPad 3-17ADA6

IdeaPad 3-17ALC6

IdeaPad 3-17ARE05

IdeaPad 3-17IIL05

IdeaPad L3 15ITL6

Ideapad Gaming L340-15IRH

IdeaPad L340-15IWL

Ideapad L340-17IRH

Ideapad L340-17IWL

Legion 5 Pro-16ACH6

Legion 5 Pro-16ACH6H

Legion 5 Pro-16ITH6

Legion 5 Pro-16ITH6H

Legion 5-15ACH6

Legion 5-15ACH6A

Legion 5-15ACH6H

Legion 5-15ITH6

Legion 5-15ITH6H

Legion 5-17ACH6

Legion 5-17ACH6H

Legion 5-17ITH6

Legion 5-17ITH6H

Legion 7-16ACHg6

Legion 7-16ITHg6

Legion S7-15ACH6

Legion Y540-15IRH

Legion Y540-15IRH-PG0

Legion Y540-17IRH

Legion Y540-17IRH-PG0

Legion Y545

Legion Y545-PG0

Legion Y7000-2019

Legion Y7000-2019-PG0

IdeaPad S145-14API

Ideapad S145-14AST

Ideapad S145-14IGM

Ideapad S145-14IIL

Ideapad S145-15API

Ideapad S145-15AST

Ideapad S145-15IGM

Ideapad S145-15IIL

Ideapad S540-13API

Ideapad S540-13IML

Ideapad Slim 7 Pro-14IHU5

Ideapad Slim 9-14ITL05

V14 G1-IML

V14 G2-ALC

V14 G2-ITL

V14-ADA

V14-ARE

V14-IGL

V14-IIL

V140-15IWL

V15 G1-IML

V15 G2-ALC

V15 G2-ITL

V15-ADA

V15-IGL

V15-IIL

V17 G2-ITL

V17-IIL

V340-17IWL

Yoga 7-14ACN6

Yoga C740-14IML

Yoga C740-15IML

Yoga C940-14IIL

Yoga Slim 7 Pro-14ACH5 D

Yoga Slim 7 Pro-14ACH5

Yoga Slim 7 Pro-14ACH5 O

Yoga Slim 7 Pro-14ACH5 OD

Yoga Slim 7 Pro-14ARH5

Yoga Slim 7 Pro-14IHU5

Yoga Slim 7 Pro-14IHU5 O

Yoga Slim 7 Pro-14ITL5

Yoga Slim 9-14ITL05

ideapad 3-14IGL05

ideapad 3-14IIL05

ideapad 3-14IML05

ideapad 3-14ITL05

ideapad 3-14ITL6

ideapad 3-15IIL05

ideapad 3-15IML05

ideapad 3-15ITL05

ideapad 3-15ITL6

ideapad 3-17IML05

ideapad 5-15ARE05

ideapad 5-15IIL05

ideapad Creator 5-15IMH05

ideapad Gaming 3-15ARH05

ideapad Gaming 3-15IMH05

Flex 3-11ADA05

IdeaPad 3-17ITL6

L3-15IML05

Legion S7-15ARH5

Legion S7-15IMH5

Lenovo S14 G2 ITL

Версия ПО

до E8CN33WW (IdeaPad 3 15ADA05)

до E8CN33WW (IdeaPad 3-14ADA05)

до HBCN21WW (IdeaPad 3-14ADA6)

до GLCN43WW (IdeaPad 3-14ALC6)

до dzcn42ww (IdeaPad 3-14ARE05)

до HBCN21WW (IdeaPad 3-15ADA6)

до GLCN43WW (IdeaPad 3-15ALC6)

до DZCN42WW (IdeaPad 3-15ARE05)

до DVCN23WW (IdeaPad 3-15IGL05)

до E8CN33WW (IdeaPad 3-17ADA05)

до HBCN21WW (IdeaPad 3-17ADA6)

до GLCN43WW (IdeaPad 3-17ALC6)

до DZCN42WW (IdeaPad 3-17ARE05)

до EMCN52WW (IdeaPad 3-17IIL05)

до GFCN23WW (IdeaPad L3 15ITL6)

до BGCN35WW (Ideapad Gaming L340-15IRH)

до ATCN46WW (IdeaPad L340-15IWL)

до BGCN35WW (Ideapad L340-17IRH)

до ATCN46WW (Ideapad L340-17IWL)

до HHCN25WW (Legion 5 Pro-16ACH6)

до GKCN51WW (Legion 5 Pro-16ACH6H)

до H1CN46WW (Legion 5 Pro-16ITH6)

до H1CN46WW (Legion 5 Pro-16ITH6H)

до HHCN25WW (Legion 5-15ACH6)

до G9CN28WW (Legion 5-15ACH6A)

до GKCN51WW (Legion 5-15ACH6H)

до H1CN46WW (Legion 5-15ITH6)

до H1CN46WW (Legion 5-15ITH6H)

до HHCN25WW (Legion 5-17ACH6)

до GKCN51WW (Legion 5-17ACH6H)

до H1CN46WW (Legion 5-17ITH6)

до H1CN46WW (Legion 5-17ITH6H)

до GKCN51WW (Legion 7-16ACHg6)

до H1CN46WW (Legion 7-16ITHg6)

до HACN35WW (Legion S7-15ACH6)

до BHCN44WW (Legion Y540-15IRH)

до BHCN44WW (Legion Y540-15IRH-PG0)

до BHCN44WW (Legion Y540-17IRH)

до BHCN44WW (Legion Y540-17IRH-PG0)

до BHCN44WW (Legion Y545)

до BHCN44WW (Legion Y545-PG0)

до BHCN44WW (Legion Y7000-2019)

до BHCN44WW (Legion Y7000-2019-PG0)

до BUCN31WW (IdeaPad S145-14API)

до AYCN26WW (Ideapad S145-14AST)

до AWCN28WW (Ideapad S145-14IGM)

до DKCN54WW (Ideapad S145-14IIL)

до BUCN31WW (Ideapad S145-15API)

до BUCN31WW (Ideapad S145-15AST)

до AYCN26WW (Ideapad S145-15AST)

до AWCN28WW (Ideapad S145-15IGM)

до DKCN54WW (Ideapad S145-15IIL)

до CXCN34WW (Ideapad S540-13API)

- (Ideapad S540-13IML)

- (Ideapad Slim 7 Pro-14IHU5)

- (Ideapad Slim 9-14ITL05)

- (V14 G1-IML)

до GLCN43WW (V14 G2-ALC)

- (V14 G2-ITL)

до E8CN33WW (V14-ADA)

до DZCN42WW (V14-ARE)

до DVCN23WW (V14-IGL)

до DKCN54WW (V14-IIL)

до ATCN46WW (V140-15IWL)

- (V15 G1-IML)

до GLCN43WW (V15 G2-ALC)

- (V15 G2-ITL)

до E8CN33WW (V15-ADA)

до DVCN23WW (V15-IGL)

до DKCN54WW (V15-IIL)

- (V17 G2-ITL)

до EMCN52WW (V17-IIL)

до ATCN46WW (V340-17IWL)

- (Yoga 7-14ACN6)

- (Yoga C740-14IML)

- (Yoga C740-15IML)

- (Yoga C940-14IIL)

до HECN24WW (Yoga Slim 7 Pro-14ACH5 D)

- (Yoga Slim 7 Pro-14ACH5)

- (Yoga Slim 7 Pro-14ACH5 O)

до HECN24WW (Yoga Slim 7 Pro-14ACH5 OD)

до G7CN21WW (Yoga Slim 7 Pro-14ARH5)

- (Yoga Slim 7 Pro-14IHU5)

- (Yoga Slim 7 Pro-14IHU5 O)

- (Yoga Slim 7 Pro-14ITL5)

- (Yoga Slim 9-14ITL05)

до DVCN23WW (ideapad 3-14IGL05)

до EMCN52WW (ideapad 3-14IIL05)

- (ideapad 3-14IML05)

- (ideapad 3-14ITL05)

- (ideapad 3-14ITL6)

до EMCN52WW (ideapad 3-15IIL05)

- (ideapad 3-15IML05)

- (ideapad 3-15ITL05)

- (ideapad 3-15ITL6)

- (ideapad 3-17IML05)

до E7CN44WW (ideapad 5-15ARE05)

- (ideapad 5-15IIL05)

до EGCN36WW (ideapad Creator 5-15IMH05)

до FCCN17WW (ideapad Gaming 3-15ARH05)

до EGCN36WW (ideapad Gaming 3-15IMH05)

- (Flex 3-11ADA05)

- (IdeaPad 3-17ITL6)

- (L3-15IML05)

- (Legion S7-15ARH5)

- (Legion S7-15IMH5)

- (Lenovo S14 G2 ITL)

Тип ПО

Микропрограммный код

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,7)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.

В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Разработка компенсирующих мер, полностью нейтрализующих возможность эксплуатации уязвимости, не представляется возможной.

Компенсирующие меры:

- использование программного обеспечения для шифрования с поддержкой TPM в целях предотвращения получения доступа к информации, если конфигурация безопасной загрузки UEFI изменена;

- выявление и исключение (блокирование) вредоносного драйвера ChgBootDxeHook из микропрограммного обеспечения UEFI ноутбуков Lenovo.

Информация от производителя:

https://support.lenovo.com/us/en/product_security/LEN-73440

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://support.lenovo.com/us/en/product_security/LEN-73440
LEN

6.7 Medium

CVSS3

6.8 Medium

CVSS2

6.7 Medium

CVSS3

6.8 Medium

CVSS2