HP hat zwei schwerwiegende BIOS-Schwachstellen in vielen seiner PC- und Notebook-Produkte behoben. die Sicherheitslücken, verfolgt als CVE-2021-3808 und CVE-2021-3809, könnte Angreifern erlauben, Code mit Kernel-Privilegien auszuführen. Diese Art von Angriff kann als eine der gefährlichsten Bedrohungen für Windows bezeichnet werden, da es Hackern ermöglicht, jeden Befehl auf Kernel-Ebene auszuführen.
Laut offizieller Empfehlung von HP, „Im BIOS wurden potenzielle Sicherheitslücken identifiziert, oder UEFI (Unified Extensible Firmware Interface) Firmware, für bestimmte HP PC-Produkte, was die Ausführung willkürlichen Codes ermöglichen könnte.“
Welche HP Produkte sind von CVE-2021-3808 und CVE-2021-3809 betroffen?
Business-Notebooks wie Zbook Studio, ZHAN Pro, ProBook, und EliteDragonfly sind betroffen, sowie Business-Desktop-Computer wie EliteDesk und ProDesk. PoS-Maschinen für den Einzelhandel, wie Engage sind ebenfalls anfällig für die Probleme, sowie Workstations einschließlich Z1 und Z2. Die vollständige Liste der betroffenen Geräte finden Sie in die offiziellen Beratungs.
Bemerkenswert ist, dass die Sicherheitslücken im November entdeckt wurden 2021 von Sicherheitsforscher Nicholas Starke. In seiner eigenen technischen Beschreibung, Er sagte, dass „diese Schwachstelle es einem Angreifer ermöglichen könnte, mit Privilegien auf Kernel-Ebene auszuführen (CP == 0) Privilegien in den Systemverwaltungsmodus zu eskalieren (SMM). Die Ausführung in SMM gibt einem Angreifer volle Privilegien über den Host, um weitere Angriffe auszuführen.“
„Im HP ProBook G4 650 Modell von Laptops mit Firmware-Version 1.17.0, es gibt einen SMI-Handler, der von SMM aufruft,„Sparke hinzugefügt.
Wie können Angreifer die Schwachstellen ausnutzen?
Um die Schwäche auszunutzen, Angreifer sollten die Speicheradresse der LocateProtocol-Funktion lokalisieren und sie dann mit bösartigem Code überschreiben. Dies würde es ihnen ermöglichen, die Codeausführung auszulösen, indem sie dem SMI-Handler die Ausführung mitteilen. Um den Fehler erfolgreich auszunutzen, Bedrohungsakteure müssen über Berechtigungen auf Root-/SYSTEM-Ebene verfügen und sollten Code im Systemverwaltungsmodus ausführen (SMM).
Der Zweck des Angriffs wäre, die UEFI-Implementierung zu überschreiben (BIOS) des Zielgeräts mit BIOS-Images, die von Angreifern kontrolliert werden. Dies könnte es ihnen ermöglichen, persistente Malware auf betroffenen Geräten abzulegen, die nicht auf „klassische“ Weise entfernt werden kann (d.h.. B. durch Anti-Malware-Tools oder Neuinstallation des Betriebssystems).
Früher in diesem Jahr, im Februar, mindestens 23 Schwachstellen wurden in verschiedenen Implementierungen von UEFI-Firmware entdeckt, die von mehreren Anbietern implementiert wurden, wie HP, Lenovo, Juniper-Netzwerke, und Fujitsu. Die Fehler wurden in der InsydeH2O UEFI-Firmware von Insyde Software lokalisiert, wobei die meisten Fehler aus dem SMM-Modus stammen (Systemmanagement).
Wusstest du schon?
Unified Extensible Firmware Interface (UEFI) ist eine Technologie, die die Firmware eines Computers mit seinem Betriebssystem verbindet. Der Zweck von UEFI besteht darin, das ältere BIOS zu ersetzen. Die Technologie wird während der Herstellung installiert. Es ist auch das erste Programm, das ausgeführt wird, wenn ein Computer gestartet wird.