Zespół z Binarly, firmy zajmującej się ochroną oprogramowania układowego, odkrył ostatnio kilka powtarzających się anomalii na dwudziestu różnych komputerach klasy korporacyjnej. Po dokładniejszym przyjrzeniu się tym problemom i zagłębieniu się w kod dezasemblacji zespół odkrył 23 krytyczne luki w zabezpieczeniach Unified Extensible Firmware Interface (UEFI), które mogą być wykorzystane przez hakerów.
Te luki w zabezpieczeniach zostały powiązane z kodem framework firmware’u InsydeH2O UEFI od Insyde Software. Ponad 25 firm używa tego kodu jako części pakietu SDK firmware’u bazującego na Insyde do tworzenia własnego oprogramowania układowego. Lista obejmuje takie firmy jak Fujitsu, Siemens, Dell, HP, HPE, Lenovo, Microsoft, Intel i Bull Atos.
Zespół Binarly odkrył 23 krytyczne luki w zabezpieczeniach Unified Extensible Firmware Interface (UEFI), które mogą być wykorzystane przez hakerów.
Wszystkie luki z wyjątkiem jednej dotyczą trybu zarządzania systemem (System Management Mode, w skrócie SMM), a najdziwniejszą jest luka w zabezpieczeniach pamięci w środowisku InsydeH2O Driver eXecution Environment (DXE). Wszystkie luki w zabezpieczeniach SMM mogą prowadzić do szczególnie nieprzyjemnej formy eskalacji uprawnień, biorąc pod uwagę, że uprawnienia SMM przewyższają uprawnienia roota lub administratora, ponieważ SMM działa poniżej poziomu systemu operacyjnego.
W rezultacie osoby atakujące, które wykorzystują te luki w celu zwiększenia uprawnień SMM, mogą ominąć funkcje zabezpieczeń rozruchu i wszczepić trwałe złośliwe oprogramowanie. Niedawno odkryto jedno z takich uporczywych złośliwych programów o nazwie MoonBounce. MoonBounce to rootkit, który można osadzić tam, gdzie firmware znajduje się w pamięci flash, dzięki czemu malware przetrwa ponowną instalację systemu operacyjnego, format dysku, a nawet wymianę dysku.
Biorąc pod uwagę poważne zagrożenie eskalacją uprawnień SMM i możliwość osadzenia trwałego złośliwego oprogramowania, które jest trudne zarówno do wykrycia, jak i usunięcia, luki uzyskały wysokie wskaźniki zagrożenia. Wszystkie mają wyniki 7,5 lub 8,2 w Common Vulnerability Scoring System (CVSS) w wersji 2.0, ale trzy z nich są wymienione w National Vulnerability Database (NVD) jako podatności krytyczne z wynikiem 9,8 w CVSS w wersji 3.x.
Na szczęście zespół Binarly prywatnie ujawnił te zagrożenia we wrześniu 2021 r., a Insyde Software opublikowało już aktualizacje oprogramowania układowego, które łatają wszystkie 23 luki. To powiedziawszy, zajmie trochę czasu, zanim firmy, których to dotyczy, przyjmą te aktualizacje i wypuszczą je w aktualizacjach zabezpieczeń dla użytkowników końcowych, a niektóre produkty (szczególnie te starsze) mogą nigdy nie otrzymać tych aktualizacji.
Zobacz także:
Zgłoś naruszenie/Błąd
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS