綜合資安外媒報導，ESET 的研究人員於 2021 年 10 月首次向聯想報告，有三個高風險漏洞影響統一可延伸韌體介面（Unified Extensible Firmware Interface，UEFI），即CVE-2021-3970、CVE-2021-3971和CVE-2021-3972，已被發現它們會影響聯想的各種設備，如聯想Flex、IdeaPads和Yoga等筆電， 這可轉化為數百萬用戶擁有易受攻擊的設備。

#ESETresearch discovered three high-impact UEFI vulnerabilities affecting Lenovo consumer laptops. Their exploitation would allow attackers to deploy and successfully execute UEFI malware, such as LoJax or ESPecter, on the affected devices. @smolar_m https://t.co/bRfFgZvfO7 1/7

— ESET research (@ESETresearch) April 19, 2022

據了解，其中兩個漏洞(CVE-2021-3971 和 CVE-2021-3972）會影響原本僅在聯想筆記型電腦製造過程中使用的 UEFI韌體驅動程式，UEFI是嵌入在現代設備晶元中的技術，它將韌體連結到操作系統，研究人員表示，聯想工程師無意中將驅動程式包含在出貨筆電的BIOS映像檔中，而未被正確停用，駭客可以利用這些有缺陷的驅動程式來禁用保護，包括UEFI安全啟動，BIOS控制寄存器和受保護範圍寄存器，這些都內置SPI中，旨在防止對其運行的韌體進行未經授權的更改。

ESET 的研究人員警告說，攻擊者可以利用這兩個與 UEFI 相關的漏洞CVE-2021-3971和CVE-2021-3972 ，在聯想筆電部署並執行 SPI 快閃記憶體或 ESP 嵌入程式，藉以從遠端下載其他惡意程式。

第三個漏洞，CVE-2021-3970，是由系統管理中斷 (SMI) 處理程式函數中的不正確輸入驗證引起的，可允許本地驗證的攻擊者可以藉由提升的系統權限執行任意程式碼。ESET 研究人員說，通過觸發軟體SMI中斷並將特製緩衝區的物理地址作為參數傳遞給易受攻擊的 SW SMI 處理程式，可以從特權內核模式進程中利用此漏洞，此處提供了聯想列出100 多款受影響的型號。

ESET 發現的這三個 Lenovo 的漏洞都需要本地存取，這意味著攻擊者已經擁有不受約束的許可權控制易受攻擊的電腦。這種存取的門檻很高，可能需要在其他地方利用一個或多個關鍵的其他漏洞，而使用戶面臨相當大的風險。據了解即使在更換硬碟驅動器或重新安裝操作系統後，這些惡意軟體仍會持續存在於系統中。

為防止上述漏洞引發的攻擊，聯想建議受影響設備的用戶將系統BIOS韌體版本更新到可用的最新版本。這可以通過從設備的支援頁面手動安裝更新來完成，也可以在聯想提供的用於更新系統驅動程式的實用程式的説明下完成。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

基於雲端的存儲庫託管服務者 GitHub 週五(4/15) 透露，它發現了一個身份不明駭客利用被盜 OAuth 用戶權杖(token)未經授權從多個組織下載私人數據的證據。GitHub 的 Mike Hanley在一份報告中披露，攻擊者濫用發給兩個第三方 OAuth 整合商 Heroku 和 Travis-CI被盜的 OAuth 用戶權杖，從包括 NPM 在內的數十個組織下載數據。

應用程式和服務通常使用OAuth 存取權杖來授權訪問用戶數據的特定部分並相互通訊，而無需共享實際憑證。這是用於將授權從單點登錄 ( SSO ) 服務傳遞到另一個應用程序的最常用方法之一。

根據 Hanley 的說法，受影響的 OAuth 應用程式清單如下：

Heroku 儀表板 (ID: 145909)

Heroku 儀表板 (ID: 628778)

Heroku 儀表板 – Preview (ID: 313468)

Heroku 儀表板  – Classic (ID: 363831)

Travis CI (ID: 9216)

Github表示，OAuth 的權杖並不是通過入侵GitHub或其系統獲得的，因為GitHub 並未以原始的可用格式存儲權杖。此外，GitHub 警告說，攻擊者可能正在使用這些第三方 OAuth 應用程式分析從受害者實體下載的私有存儲庫內容，被盜的 OAuth 權杖可以存取這些內容，以獲取可用於轉向其他基礎設施的機密的數據。

Github指出，它在 4 月 12 日發現了攻擊活動的早期證據，當時它遇到了使用被入侵的 AWS API 金鑰對其 NPM 的生產環境進行未經授權的存取。

這個 AWS API 金鑰被認為是通過使用從兩個受影響的 OAuth 應用程式之一中竊取的 OAuth權杖下載一組未指定的私有NPM 存儲庫獲得的。GitHub 表示，它已經撤銷了與受影響應用程式相關的存取權杖來保護 GitHub 和 NPM。

另外，Salesforce子公司 Heroku確認了存取權杖的撤銷，並稱在另行通知之前，他們不會從 Heroku 儀表板發布 OAuth權杖以防止未經授權

存取客戶的 GitHub 存儲庫。

GitHub has uncovered evidence that an attacker abused stolen OAuth user tokens issued to two third-party OAuth integrators, Heroku and Travis-CI. Read more about the impact to GitHub, npm, and our users. https://t.co/eB7IJfJfh1

— GitHub Security (@GitHubSecurity) April 15, 2022

雖然攻擊者能夠從入侵的存儲庫中竊取數據，但 GitHub 認為沒有任何套件(packages)被修改，用戶帳戶數據或憑證未在事件中被存取，並重申 npm 使用與GitHub.com 完全獨立的基礎設施；GitHub 沒有受到這次攻擊的影響， GitHub 正在努力通知所有受影響的用戶和組織並表示，儘管調查仍在繼續，但沒有發現任何證據表明攻擊者使用被盜的第三方OAuth權杖克隆了其他 GitHub 擁有的私有存儲庫。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”