Lenovo 安全公告：LEN-31390

潜在影响：信息泄露、权限提升

严重性：高

影响范围：全行业

CVE ID：无 CVE

摘要描述：

Intel 报告了 Intel Thunderbolt 中存在一些需要物理访问权限和专用设备才能实施攻击的潜在安全漏洞，其可能允许恶意外围设备在具有 Thunderbolt 接口的系统上访问机密数据以及更改系统行为。

应采取哪些措施进行自我保护：

Intel 建议客户针对搭载新款 Intel 处理器（2019 或更晚）的系统启用内核直接内存访问（DMA）保护，这种保护在 Windows（Windows 10 1803 RS4 及更高版本）和 Linux（内核 5.x 及更高版本）上均可用。

对于不支持内核 DMA 保护的系统，我们建议客户遵循 Intel 所提供的最佳安全做法，包括仅使用可信的外围设备以及防止对计算机进行未经授权的物理访问。

要检测潜在的系统篡改，客户可以在受支持的系统上的 BIOS 中启用 Tamper Detection/Chassis Intrusion Detection（篡改检测/机箱入侵检测）。

要完全禁用 Thunderbolt，相关客户可以将 Thunderbolt BIOS 设置设为 Disabled（禁用），并使用 BIOS Administrator/Supervisor Password（管理员/超级用户密码）保护该设置。注意：在某些系统上，这可能也会禁用 USB-C 端口。

产品影响：

支持内核 DMA 保护

ThinkPad P1 Gen. 2

X1 Extreme Gen. 2、X1 Carbon Gen7/8、X1 Yoga 4th Gen、X390、X390 Yoga

ThinkPad P43s、P53、P53s、P73

ThinkPad T490/T490s、T590

Lenovo S940-14IWL、Yoga S940-14IWL

ThinkPad L13 1st Gen_Intel_CML，

ThinkPad E490s/ThinkPad S3/ThinkPad E490/E590/R490/R590

ThinkPad L390 Yoga

ThinkPad S2 Yoga 4th Gen

ThinkPad L490/L590

AIO A940

不支持内核 DMA 保护

ThinkPad P1 Gen. 1

X1 Extreme Gen. 1

P52

P72

ThinkCentre M920t/s/q/x 和 ThinkStation P330

搭载较早版本的 Intel 处理器且不支持内核 DMA 保护的系统

参考资料：

https://blogs.intel.com/technology/2020/05/more-information-on-thunderspy/

https://docs.microsoft.com/en-us/windows/security/information-protection/kernel-dma-protection-for-thunderbolt

修订历史：

要获得所有 Lenovo 产品安全公告的完整列表，请单击此处。

最新信息请关注 Lenovo 关于您设备和软件的更新和公告。此公告内的信息“按原样”提供，我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。