在深入剖析ThinkPad 13 2nd Gen型号的硬件与软件体系时,安全研究人员意外地发现了一个潜在的严重安全风险,该风险被标记为SMM(系统管理模式)相关的漏洞,其正式编号为CVE-2021-3452。
此漏洞的存在意味着,任何拥有本地系统管理权限的用户,都可能利用这一缺陷非法访问系统管理模式,进而执行任意代码。这种攻击行为的后果可能非常严重,攻击者可以通过该漏洞将自身的权限从通常的ring 0(内核态)提升至ring -2(系统管理模式),从而在系统管理模式下随心所欲地执行代码,甚至安装固件级别的后门程序。值得注意的是,一旦在SMM级别植入了恶意代码,即使操作系统被重新安装,这些恶意代码依然有可能存活下来,持续对系统构成威胁。
不仅如此,该漏洞还可能被攻击者用来规避UEFI(统一可扩展固件接口)固件安全机制的设计初衷,使得攻击行为更加隐蔽和难以防御。在某些特定的攻击场景下,攻击者甚至能够修改目标系统上SPI(串行外设接口)闪存芯片中的固件存储内容,从而在目标系统上实现更为持久化的攻击效果。
漏洞深度解析
该漏洞的具体位置位于LenovoSmapiSmm模块的地址0x48C处,该模块负责处理软件系统管理中断(SWSMI)。研究人员通过对r0juj20w固件进行细致分析,发现了该漏洞的存在。
在偏移量0x48C处的SWSMI处理程序(具体为SwSmiHandler_48C)中,存在一个关键性的操作:它取消引用gRT(EFI_RUNTIME_SERVICES)指针,进而调用ResetSystem函数。这一操作如果处理不当,就可能导致在SMRAM(系统管理模式内存)中执行恶意代码,进而实现权限从ring 0升级到ring -2的跨越。
SwSmiHandler_48C函数是由sub_314函数安装并调用的,而sub_314函数则是在ModuleEntryPoint函数中被触发的。
当通过CPU保存状态(ReadSaveState)向SwSmiHandler_48C传递特定的参数,即将RAX寄存器设置为0x5380、RBX寄存器设置为0x7003时,就会触发漏洞代码的执行。
受影响设备列表
联想ThinkPad 13 2nd Gen,固件版本为1.29 (R0JET44W) 或 r0juj22w
联想ThinkPad 11e 4th Gen、Yoga 11e 4th Gen,固件版本为1.26 (R0KET40W) 或 r0kuj22w
联想ThinkPad 11e 4th Gen、Yoga 11e 4th Gen,固件版本为1.21 (R0LET36W) 或 r0luj20ww
联想ThinkPad 11e Yoga Gen 6,固件版本为1.08 (R18ET24W) 或 r18uj06w