Finalmente 23 novas vulnerabilidades de segurança foram descobertas em várias implementações de UEFI (Unified Extensible Firmware Interface) firmware implementado por vários fornecedores, como HP, Lenovo, Juniper Networks, e Fujitsu.
As falhas estão localizadas no firmware InsydeH2O UEFI da Insyde Software, com a maioria das falhas decorrentes do modo SMM (administração de sistema). Vale ressaltar que em sistemas x86, o firmware UEFI é normalmente encontrado no chip de memória flash da placa-mãe.
Unified Extensible Firmware Interface (UEFI) é uma tecnologia que conecta o firmware de um computador ao seu sistema operacional. O objetivo da UEFI é, eventualmente, substituir o BIOS legado. A tecnologia é instalada durante a fabricação. É também o primeiro programa executado quando um computador é iniciado.
Vulnerabilidades de firmware UEFI
As vulnerabilidades incluem CVE-2021-41837, CVE-2021-41838, CVE-2021-33627, CVE-2021-33626, CVE-2021-41839, CVE-2021-41841, entre outros. A lista completa está disponível na assessoria técnica do Insyde, que também fornece informações de patch e mais detalhes técnicos.
De acordo com Binário, a empresa que divulgou os problemas, “A exploração ativa de todas as vulnerabilidades descobertas não pode ser detectada por sistemas de monitoramento de integridade de firmware devido às limitações do Trusted Platform Module (TPM) medição. As soluções de atestado de integridade do dispositivo remoto não detectarão os sistemas afetados devido às limitações de design na visibilidade do tempo de execução do firmware.”
Vale ressaltar que um invasor com acesso de usuário privilegiado ao sistema de destino pode explorar as vulnerabilidades para instalar malware persistente avançado. além disso, o invasor pode contornar as soluções de segurança de endpoint, Modo de segurança, e segurança baseada em virtualização.
As falhas foram originalmente descobertas em dispositivos Fujitsu. Contudo, uma análise mais aprofundada mostrou que a questão era mais ampla, impactando o firmware baseado em Insyde. A Fujitsu foi contactada em Setembro do ano passado, enquanto a Binarly cooperou com o CERT/CC e o Linux Vendor Firmware Service (LVFS) para identificar e notificar outros fornecedores afetados.
Em outubro 2020, pesquisadores de segurança descobriram um novo ataque UEFI, onde uma imagem de firmware UEFI comprometida continha um implante malicioso. Parte de uma estrutura de malware chamada MosaicRegressor, o ataque comprometeu as vítimas com laços com a Coreia do Norte entre 2017 e 2019.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: