HP har rettet to alvorlige BIOS-sårbarheder i mange af sine pc- og notebookprodukter. sårbarhederne, spores som CVE-2021-3808 og CVE-2021-3809, kunne tillade trusselsaktører at køre kode med kernerettigheder. Denne type angreb kan beskrives som en af de farligste trusler for Windows, da det gør det muligt for hackere at udføre enhver kommando på kerneniveau.
Ifølge HP's officielle rådgivning, "potentielle sikkerhedssårbarheder er blevet identificeret i BIOS, eller UEFI (Unified Extensible Firmware Interface) Firmware, for visse HP PC-produkter, hvilket kan tillade vilkårlig kodeudførelse."
Hvilke HP-produkter er berørt af CVE-2021-3808 og CVE-2021-3809?
Business notesbøger såsom Zbook Studio, ZHAN Pro, ProBook, og EliteDragonfly som er berørt, samt business stationære computere som EliteDesk og ProDesk. Detail PoS maskiner, såsom Engage er også tilbøjelige til problemerne, samt arbejdsstationer inklusive Z1 og Z2. Den fulde liste over berørte enheder er tilgængelig i den officielle rådgivende.
Det er bemærkelsesværdigt, at sårbarhederne blev opdaget i november 2021 af sikkerhedsforsker Nicholas Starke. I sin egen tekniske skrift, han sagde, at "denne sårbarhed kunne tillade en angriber at køre med rettigheder på kerneniveau (CPL == 0) for at eskalere privilegier til System Management Mode (SMM). Eksekvering i SMM giver en angriber fulde rettigheder over værten til yderligere at udføre angreb."
"I HP ProBook G4 650 model af bærbare computere, der kører firmwareversion 1.17.0, der findes en SMI-handler, der kalder ud fra SMM,"Sparke tilføjet.
Hvordan kan angribere udnytte sårbarhederne?
At udnytte svagheden, trusselsaktører bør finde hukommelsesadressen for LocateProtocol-funktionen og derefter overskrive den med ondsindet kode. Dette ville give dem mulighed for at udløse kodeudførelse ved at bede SMI-handleren om at udføre. For med succes at udnytte fejlen, trusselsaktører skal have rettigheder på root/SYSTEM-niveau og skal udføre kode i systemstyringstilstand (SMM).
Formålet med angrebet ville være at overskrive UEFI-implementeringen (BIOS) af den målrettede enhed med BIOS-billeder styret af trusselsaktører. Dette kan give dem mulighed for at droppe vedvarende malware på berørte enheder, som ikke kan fjernes på nogen "klassisk" måde (dvs.. ved anti-malware værktøjer eller geninstallation af OS).
Tidligere i år, i februar, i det mindste 23 sårbarheder blev opdaget i forskellige implementeringer af UEFI-firmware implementeret af flere leverandører, såsom HP, Lenovo, Juniper Networks, og Fujitsu. Fejlene var lokaliseret i Insyde Softwares InsydeH2O UEFI-firmware, med de fleste af fejlene, der stammer fra SMM-tilstanden (systemstyring).
Vidste du?
Unified Extensible Firmware Interface (UEFI) er en teknologi, der forbinder en computers firmware til dens operativsystem. Formålet med UEFI er til sidst at erstatte den ældre BIOS. Teknologien installeres under fremstillingen. Det er også det første program, der kører, når en computer startes.