HP solucionó dos vulnerabilidades de BIOS de alta gravedad en muchos de sus productos de PC y portátiles. las vulnerabilidades, rastreado como CVE-2021-3808 y CVE-2021-3809, podría permitir que los actores de amenazas ejecuten código con privilegios de kernel. Este tipo de ataque se puede describir como una de las amenazas más peligrosas para Windows., ya que permite a los piratas informáticos ejecutar cualquier comando a nivel de kernel.
Según el aviso oficial de HP, “Se han identificado posibles vulnerabilidades de seguridad en el BIOS, o UEFI (Interfase Extensible de Firmware Unificado) firmware, para ciertos productos de PC HP, lo que podría permitir la ejecución de código arbitrario”.
Qué productos HP se ven afectados por CVE-2021-3808 y CVE-2021-3809?
Portátiles empresariales como Zbook Studio, ZHAN Pro, ProBook, y EliteDragonfly como se ven afectados, así como computadoras de escritorio comerciales como EliteDesk y ProDesk. Máquinas de puntos de venta minoristas, como Engage también son propensos a los problemas, así como estaciones de trabajo que incluyen Z1 y Z2. La lista completa de dispositivos afectados está disponible en el asesor oficial.
Cabe destacar que las vulnerabilidades fueron descubiertas en noviembre 2021 por el investigador de seguridad Nicholas Starke. En su propio informe técnico, dijo que "esta vulnerabilidad podría permitir que un atacante ejecute con privilegios de nivel de kernel (CPL == 0) para escalar los privilegios al modo de administración del sistema (SMM). Ejecutar en SMM otorga al atacante privilegios completos sobre el host para llevar a cabo más ataques”.
“En el HP ProBook G4 650 modelo de portátiles con versión de firmware 1.17.0, existe un controlador SMI que llama desde SMM,Chispa adicional.
¿Cómo pueden los atacantes explotar las vulnerabilidades??
Para explotar la debilidad, los actores de amenazas deben ubicar la dirección de memoria de la función LocateProtocol y luego sobrescribirla con código malicioso. Esto les permitiría activar la ejecución del código diciéndole al controlador SMI que ejecute. Para aprovechar con éxito la falla, los actores de amenazas deben tener privilegios de nivel raíz/SISTEMA y deben ejecutar el código en el modo de administración del sistema (SMM).
El propósito del ataque sería sobrescribir la implementación UEFI (BIOS) del dispositivo de destino con imágenes de BIOS controladas por actores de amenazas. Esto podría permitirles colocar malware persistente en los dispositivos afectados que no se pueden eliminar de ninguna manera "clásica". (es decir. por herramientas antimalware o reinstalación del sistema operativo).
A principios de este año, en febrero, Al menos 23 vulnerabilidades fueron descubiertos en varias implementaciones de firmware UEFI implementadas por múltiples proveedores, como hp, Lenovo, Redes de enebro, y fujitsu. Las fallas se ubicaron en el firmware InsydeH2O UEFI de Insyde Software, con la mayoría de las fallas derivadas del modo SMM (gestión del sistema).
Sabías?
Interfase Extensible de Firmware Unificado (UEFI) es una tecnología que conecta el firmware de una computadora a su sistema operativo. El propósito de UEFI es eventualmente reemplazar el BIOS heredado. La tecnología se instala durante la fabricación.. También es el primer programa que se ejecuta cuando se inicia una computadora..