HP heeft twee zeer ernstige BIOS-kwetsbaarheden verholpen in veel van zijn pc- en notebookproducten. de beveiligingslekken, bijgehouden als CVE-2021-3808 en CVE-2021-3809, kan bedreigingsactoren toestaan om code uit te voeren met kernelprivileges. Dit type aanval kan worden omschreven als een van de gevaarlijkste bedreigingen voor Windows, omdat het hackers in staat stelt om elk commando op kernelniveau uit te voeren.
Volgens het officiële advies van HP, “potentiële beveiligingsproblemen zijn geïdentificeerd in het BIOS, of UEFI (Unified Extensible Firmware Interface) firmware, voor bepaalde HP pc-producten, die het uitvoeren van willekeurige code mogelijk zou maken.”
Welke HP-producten worden beïnvloed door CVE-2021-3808 en CVE-2021-3809?
Zakelijke notebooks zoals Zbook Studio, ZHAN Pro, ProBook, en EliteDragonfly zoals getroffen, evenals zakelijke desktopcomputers zoals EliteDesk en ProDesk. Retail PoS-machines, zoals Engage zijn ook gevoelig voor de problemen, evenals werkstations inclusief Z1 en Z2. De volledige lijst met getroffen apparaten is beschikbaar in: de officiële adviesorgaan.
Opmerkelijk is dat de kwetsbaarheden in november zijn ontdekt 2021 door beveiligingsonderzoeker Nicholas Starke. In zijn eigen technische beschrijving, hij zei dat "deze kwetsbaarheid een aanvaller in staat zou kunnen stellen uitvoering te geven met privileges op kernelniveau". (CPL == 0) om bevoegdheden te escaleren naar de systeembeheermodus (SMM). Uitvoeren in SMM geeft een aanvaller volledige privileges over de host om verdere aanvallen uit te voeren.”
"In de HP ProBook G4" 650 model van laptops met firmwareversie 1.17.0, er bestaat een SMI-handler die roept vanuit SMM,” Sparke toegevoegd.
Hoe kunnen aanvallers misbruik maken van de kwetsbaarheden??
Om de zwakte uit te buiten, dreigingsactoren moeten het geheugenadres van de LocateProtocol-functie lokaliseren en het vervolgens overschrijven met kwaadaardige code. Dit zou hen in staat stellen om code-uitvoering te activeren door de SMI-handler te vertellen om uit te voeren. Om met succes gebruik te maken van de fout, dreigingsactoren moeten root-/SYSTEM-niveaurechten hebben en code uitvoeren in de systeembeheermodus (SMM).
Het doel van de aanval zou zijn om de UEFI-implementatie te overschrijven (BIOS) van het doelapparaat met BIOS-images die worden beheerd door bedreigingsactoren. Hierdoor kunnen ze persistente malware op getroffen apparaten laten vallen die op geen enkele "klassieke" manier kan worden verwijderd (dat wil zeggen. door anti-malwaretools of herinstallatie van het besturingssysteem).
Eerder dit jaar, in februari, minstens 23 kwetsbaarheden werden ontdekt in verschillende implementaties van UEFI-firmware geïmplementeerd door meerdere leveranciers, zoals HP, Lenovo, Juniper-netwerken, en Fujitsu. De fouten bevonden zich in de InsydeH2O UEFI-firmware van Insyde Software, met de meeste gebreken die voortkomen uit de SMM-modus (systeem beheer).
Wist je dat?
Unified Extensible Firmware Interface (UEFI) is een technologie die de firmware van een computer verbindt met het besturingssysteem. Het doel van UEFI is om uiteindelijk het oude BIOS te vervangen. De technologie wordt tijdens de fabricage geïnstalleerd. Het is ook het eerste programma dat wordt uitgevoerd wanneer een computer wordt opgestart.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: