Lenovo, saldırganların özelleştirilmiş Insyde UEFI ürün yazılımı kullanarak hepsi bir arada masaüstlerinde güvenli botu atlamasına izin verebilecek yüksek şiddetli BIOS kusurlarını uyarıyor.
Etkilendiği doğrulanan cihazların IdeaCentre AIO 3 24arr9 ve 27arr9 ve yoga AIO 27IAH10, 32IL10 ve 32IRH8’dir.
UEFI, bilgisayar donanımı ve işletim sistemi arasında bir ürün yazılımı arayüzü görevi gören, erken başlatma ve önyüklemeyi kontrol eden geleneksel PC BIOS’un modern yerine geçer.
Binarly tarafından keşfedilen kusurlar, araştırmacıların bu ayın başlarında ortaya çıkardıklarını yansıtıyor, bu da düzinelerce gigabayt anakart modelini etkiledi ve yerel saldırganların sistem yönetimi modunda (SMM) keyfi kod yürütmesini sağlıyor.
SMM, daha düşük bir seviyede (RING-2) daha yüksek ayrıcalıklarla çalışan işletim sistemi (OS) ve hipervizörden ayrı bir CPU modudur. SMM’deki kusurlardan yararlanmak, saldırganların SecureBoot gibi işletim sistemi düzeyindeki güvenlik savunmalarını atlayarak ‘tespit edilemeyen’ kötü amaçlı yazılımların bitmesine yardımcı olabilir.
Insydeh2O, OEM dizüstü bilgisayarlarında ve masaüstlerinde kullanılan en yaygın olarak dağıtılan ticari UEFI BIOS çerçevelerinden biridir.
Insyde ayrıca, insydeh2o uefi ürün yazılımı görüntülerinde Lenovo tarafından yapılan OEM’e özgü özelleştirmelerden kaynaklandığını ve Insydeh2o UEFI kullanan tüm sistemlere uygulanmadığını açıklayan bir bülten yayınladı.
Binarly’den Alex Matrosov’a BleepingComputer’a, “Yeni tanımlanan Lenovo güvenlik açıkları, yazılım tedarik zinciri içindeki tutarsızlıklara bağlı aynı tekrarlayan zorluklardan kaynaklanıyor.” Dedi.
“Altı güvenlik açıkının tümü, işletim sisteminizden önce yüklenen ve her yeniden görüntüden sonra devam eden görünmez ürün yazılımı katmanı olan Sistem Yönetimi Modu (SMM) seviyesi kodunda bulundu, bu da onları gizli implantlar ve güvenli önyükleme bypass için mükemmel bir fırlatma pedleri haline getirdi.”
Altı kusur aşağıdaki gibi özetlenmiştir:
- CVE-2025-4421: Bir SMI işleyicisindeki hata (EFISMIServices aracılığıyla geri arama) bir saldırganın, SMM ayrıcalık artışına ve kalıcı ürün yazılımı uzlaşmasına yol açan bir saldırgan tarafından kontrol edilen bir SMRAM adresine yazmasına izin verir (CVSS Skoru: 8.2)
- CVE-2025-4422: Bir SMI işleyicisindeki hata (EFismiservices, GEFISMMCPuprotocol ve EFIPCDProtocol aracılığıyla) SMM bellek bozulmasına ve ayrıcalık artışına yol açabilir. (CVSS Puanı: 8.2)
- CVE-2025-4423: Bir SMI işleyicisindeki hata (setUpautomationsMM), SMM’de keyfi bellek yazmasına izin vererek SMM ayrıcalığının artmasına ve kod yürütmesine yol açar. (CVSS Puanı: 8.2)
- CVE-2025-4424: Bir SMI işleyicisinde (setUpautomationsMM) uygunsuz giriş doğrulaması, SMMSetVariable’a yönelik olmayan çağrılara izin vererek ürün yazılımı ayarları manipülasyonuna yol açar. (CVSS Puanı: 6)
- CVE-2025-4425: Bir SMI işleyicisinde (setUpautomationsMM) yığın arabellek taşması SMM ayrıcalığına yükselme ve keyfi kod yürütülmesine yol açabilir. (CVSS Puanı: 8.2)
- CVE-2025-4426: Bir SMI işleyicisindeki hata (setUpautomationsMM), hassas bilgi açıklamasını sağlayan SMRAM içeriğini sızdırıyor. (CVSS Puanı: 6)
Binarly, 8 Nisan 2025’te Lenovo’ya olan güvenlik açıklarını bildirdi ve 16 Haziran’da şirketten onay aldı. 90 günlük açıklama penceresinin sona ermesinin ardından koordineli açıklama dün yayınlandı.
Lenovo, IdeaCenter AIO 3 modelleri için ürün yazılımı güvenlik güncellemeleri yayınladı ve kullanıcıları O6BKT1AA sürümüne yükseltmeye çağırdı.
Yoga AIO güncellemeleri şu anda mevcut değil, ancak bilgisayar satıcısı 30 Eylül ile 30 Kasım 2025 tarihleri arasında düzeltmeler yayınlamayı planlıyor.
İşinizi etkilemeden önce gerçek zamanlı olarak ortaya çıkan tehditleri içerir.
Bulut algılama ve yanıtının (CDR) güvenlik ekiplerine bu pratik, saçma rehberde ihtiyaç duydukları avantajı nasıl verdiğini öğrenin.