Vulnerabilidades del firmware UEFI afectan al menos a 25 proveedores de Pc

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de la empresa de protección de firmware Binarly han descubierto vulnerabilidades críticas en el firmware UEFI de InsydeH2O utilizado por varios proveedores de computadoras como Fujitsu, Intel, AMD, Lenovo, Dell, ASUS, HP, Siemens, Microsoft y Acer.

El software UEFI (Interfaz de firmware extensible unificada) es una interfaz entre el firmware de un dispositivo y el sistema operativo, que maneja el proceso de arranque, el diagnóstico del sistema y las funciones de reparación.

En total, Binarly encontró 23 fallas en el firmware InsydeH2O UEFI, la mayoría de ellas en el Modo de administración del sistema (SMM) del software que proporciona funciones para todo el sistema, como administración de energía y control de hardware.

Los privilegios de SMM superan los del kernel del sistema operativo, por lo que cualquier problema de seguridad en este espacio puede tener graves consecuencias para el sistema vulnerable.

Más específicamente, un atacante local o remoto con privilegios administrativos que explote las fallas de SMM podría realizar las siguientes tareas:

    Invalide muchas funciones de seguridad de hardware (SecureBoot, Intel BootGuard)
    Instalar software persistente que no se pueda borrar fácilmente
    Crear puertas traseras y canales de comunicación traseros para robar datos confidenciales

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los 23 defectos se rastrean como:

CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE -2021-41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE-2021 -43522, CVE-2021-43615, CVE-2021-45969, CVE-2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031, CVE-2022-24069.

De los anteriores, CVE-2021-45969, CVE-2021-45970 y CVE-2021-45971 en el SMM se califican con gravedad crítica y reciben una puntuación de 9,8 sobre 10.

Diez de las vulnerabilidades descubiertas podrían explotarse para escalar privilegios, doce fallas de corrupción de memoria en SMM y una es una vulnerabilidad de corrupción de memoria en el entorno de ejecución de controladores (DXE) de InsydeH2O.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"La causa raíz del problema se encontró en el código de referencia asociado con el código del marco de firmware de InsydeH2O", explica el informe de divulgación de Binarly.

"Todos los proveedores antes mencionados (más de 25) estaban usando SDK de firmware basado en Insyde para desarrollar sus piezas de firmware (UEFI)", señala la compañía.

Por el momento, el Centro de Coordinación CERT de EE. UU. confirmó tres proveedores con productos afectados por los problemas de seguridad encontrados en el firmware InsydeH2O: Fujitsu, Insyde Software Corporation e Intel (solo CVE-2020-5953)
Abordar los problemas

Insyde Software ha lanzado actualizaciones de firmware para corregir todas las vulnerabilidades de seguridad identificadas y ha publicado boletines detallados para asignar la gravedad y la descripción de cada falla.

Sin embargo, estas actualizaciones de seguridad deben ser adoptadas por los fabricantes de equipos originales (OEM) y enviadas a los productos afectados.

Todo el proceso llevará una cantidad de tiempo considerable para que las actualizaciones de seguridad lleguen a los usuarios finales. Sin embargo, es poco probable que todos los problemas se resuelvan en todos los productos afectados, porque algunos dispositivos han llegado al final de su vida útil y ya no son compatibles, mientras que otros pueden volverse obsoletos antes de que haya un parche listo para ellos.

En el momento de escribir este artículo, solo Insyde, Fujitsu e Intel se han confirmado afectados por las fallas, mientras que Rockwell, Supermicro y Toshiba no se han visto afectados. El resto está investigando.

Binarly le da crédito al equipo de respuesta a incidentes de Fujitsu por su rápida reacción al recibir los informes de vulnerabilidad y su enfoque práctico para ayudar a analizarlos correctamente.

Si desea escanear su sistema para detectar la existencia de las fallas anteriores, Binarly ha publicado estas reglas de FwHunt en GitHub para ayudar con la detección:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta