HP ha corretto due vulnerabilità del BIOS ad alta gravità in molti dei suoi prodotti PC e notebook. le vulnerabilità, tracciato come CVE-2021-3808 e CVE-2021-3809, potrebbe consentire agli attori delle minacce di eseguire codice con privilegi del kernel. Questo tipo di attacco può essere descritto come una delle minacce più pericolose per Windows, poiché consente agli hacker di eseguire qualsiasi comando a livello di kernel.
Secondo l'avviso ufficiale di HP, “nel BIOS sono state identificate potenziali vulnerabilità di sicurezza, o UEFI (Unified Extensible Firmware Interface) firmware, per alcuni prodotti PC HP, che potrebbe consentire l'esecuzione di codice arbitrario.
Quali prodotti HP sono interessati da CVE-2021-3808 e CVE-2021-3809?
Notebook aziendali come Zbook Studio, ZHAN Pro, ProBook, ed EliteDragonfly come sono interessati, nonché computer desktop aziendali come EliteDesk e ProDesk. Macchine PoS al dettaglio, come Engage sono anche soggetti a problemi, così come workstation tra cui Z1 e Z2. L'elenco completo dei dispositivi interessati è disponibile in l'advisory ufficiale.
È interessante notare che le vulnerabilità sono state scoperte a novembre 2021 dal ricercatore di sicurezza Nicholas Starke. Nel suo stesso resoconto tecnico, ha affermato che "questa vulnerabilità potrebbe consentire a un utente malintenzionato di eseguire con privilegi a livello di kernel (CPL == 0) per aumentare i privilegi alla modalità di gestione del sistema (SMM). L'esecuzione in SMM offre a un utente malintenzionato i privilegi completi sull'host per eseguire ulteriori attacchi".
“Nell'HP ProBook G4 650 modello di laptop con versione firmware 1.17.0, esiste un gestore SMI che chiama da SMM,Scintilla aggiunto.
In che modo gli aggressori possono sfruttare le vulnerabilità?
Per sfruttare la debolezza, gli attori delle minacce dovrebbero individuare l'indirizzo di memoria della funzione LocateProtocol e quindi sovrascriverlo con codice dannoso. Ciò consentirebbe loro di attivare l'esecuzione del codice dicendo al gestore SMI di eseguire. Per sfruttare con successo il difetto, gli attori delle minacce devono disporre dei privilegi di livello root/SISTEMA e devono eseguire il codice in modalità di gestione del sistema (SMM).
Lo scopo dell'attacco sarebbe sovrascrivere l'implementazione UEFI (BIOS) del dispositivo di destinazione con immagini del BIOS controllate da attori delle minacce. Ciò potrebbe consentire loro di rilasciare malware persistente sui dispositivi interessati che non possono essere rimossi in alcun modo "classico". (i.e. da strumenti anti-malware o reinstallando il sistema operativo).
All'inizio di quest'anno, a febbraio, almeno 23 vulnerabilità sono stati scoperti in varie implementazioni del firmware UEFI implementate da più fornitori, come HP, Lenovo, Reti di ginepro, e Fujitsu. I difetti si trovavano nel firmware UEFI InsydeH2O di Insyde Software, con la maggior parte dei difetti derivanti dalla modalità SMM (gestione del sistema).
Lo sapevate?
Unified Extensible Firmware Interface (UEFI) è una tecnologia che collega il firmware di un computer al suo sistema operativo. Lo scopo di UEFI è eventualmente sostituire il BIOS legacy. La tecnologia viene installata durante la produzione. È anche il primo programma in esecuzione all'avvio di un computer.