Исследователи в области кибербезопасности обнаружили критические уязвимости в BIOS ряда настольных компьютеров Lenovo IdeaCentre и Yoga All-in-One, которые позволяют злоумышленникам с повышенными привилегиями выполнять произвольный код и потенциально нарушать безопасность системы на уровне микропрограммного обеспечения. Проблемы были выявлены в рамках исследования, проведенного экспертами компании BINARLY, а затем официально подтверждены Lenovo и разработчиком BIOS Insyde Software.
В популярных моделях настольных компьютеров обнаружены критические уязвимости
Уязвимости, зарегистрированные под номерами CVE-2025-4421, CVE-2025-4422, CVE-2025-4423, CVE-2025-4424, CVE-2025-4425 и CVE-2025-4426, получили оценки по шкале CVSS от 6.0 до 8.2, что указывает на их среднюю и высокую степень опасности. Наиболее серьезные из них, такие как CVE-2025-4421, CVE-2025-4422 и CVE-2025-4425, позволяют злоумышленникам с административными правами вызывать повреждение памяти в защищенном режиме SMM (System Management Mode), что открывает путь для исполнения произвольного кода с максимальными привилегиями.
Под удар попали модели Lenovo IdeaCentre AIO 3 (24ARR9, 27ARR9), а также серия Yoga AIO (27IAH10, 32ILL10, 9 32IRH8). Проблемы связаны с реализацией BIOS InsydeH2O, который используется в этих устройствах. Уязвимости затрагивают механизмы обработки системных вызовов SMI (System Management Interrupt), что делает их особенно опасными, так как SMM работает вне контроля операционной системы и традиционных средств защиты.
Lenovo уже выпустила обновления BIOS для линейки IdeaCentre AIO 3, минимальная версия с исправлениями - O6BKT1AA. Владельцам Yoga AIO придется подождать до сентября-ноября 2025 года, когда компания планирует выпустить патчи для этих устройств. Пользователям настоятельно рекомендуется проверить текущую версию BIOS через утилиту Lenovo Vantage или официальный сайт поддержки и установить актуальные обновления, как только они станут доступны.
Эксперты предупреждают, что атаки через уязвимости в BIOS особенно опасны, так как вредоносный код может сохраняться даже после переустановки операционной системы. В корпоративных средах подобные уязвимости могут использоваться для сложных цепочек атак, включая перехват управления загрузочным процессом и внедрение стелс-модулей.
Lenovo опубликовала рекомендации по защите, включающие не только установку обновлений, но и мониторинг необычной активности в системе. Однако до выхода исправлений для Yoga AIO пользователи этих устройств остаются в зоне риска.
Это не первый случай, когда уязвимости в микропрограммном обеспечении компьютеров Lenovo становятся объектом внимания исследователей. В прошлом аналогичные проблемы были обнаружены в ноутбуках ThinkPad, что свидетельствует о необходимости более тщательного аудита безопасности на уровне прошивок. Ситуация также подчеркивает важность своевременного обновления BIOS, что часто игнорируется как домашними, так и корпоративными пользователями.
Ссылки
- https://support.lenovo.com/in/en/product_security/LEN-201013
- https://www.cve.org/CVERecord?id=CVE-2025-4421
- https://www.cve.org/CVERecord?id=CVE-2025-4422
- https://www.cve.org/CVERecord?id=CVE-2025-4423
- https://www.cve.org/CVERecord?id=CVE-2025-4424
- https://www.cve.org/CVERecord?id=CVE-2025-4425
- https://www.cve.org/CVERecord?id=CVE-2025-4426
