A HP corrigiu duas vulnerabilidades de BIOS de alta gravidade em muitos de seus produtos de PC e notebook. as vulnerabilidades, rastreado como CVE-2021-3808 e CVE-2021-3809, pode permitir que os agentes de ameaças executem código com privilégios de kernel. Este tipo de ataque pode ser descrito como uma das ameaças mais perigosas para o Windows, pois permite que hackers executem qualquer comando no nível do kernel.
De acordo com o comunicado oficial da HP, “Potenciais vulnerabilidades de segurança foram identificadas no BIOS, ou UEFI (Unified Extensible Firmware Interface) Firmware, para determinados produtos de PC HP, que pode permitir a execução de código arbitrário.”
Quais produtos HP são afetados pelo CVE-2021-3808 e CVE-2021-3809?
Notebooks de negócios como o Zbook Studio, ZHAN Pro, ProBook, e EliteDragonfly como são afetados, bem como computadores desktop empresariais, como EliteDesk e ProDesk. Máquinas de PoS de varejo, como o Engage também são propensos a problemas, bem como estações de trabalho, incluindo Z1 e Z2. A lista completa de dispositivos afetados está disponível em o consultivo oficial.
Vale ressaltar que as vulnerabilidades foram descobertas em novembro 2021 pelo pesquisador de segurança Nicholas Starke. Em sua própria redação técnica, ele disse que “esta vulnerabilidade pode permitir que um invasor execute com privilégios no nível do kernel (CPL == 0) para escalar privilégios para o Modo de Gerenciamento do Sistema (SMM). A execução no SMM dá ao invasor privilégios totais sobre o host para continuar a realizar ataques.”
“No HP ProBook G4 650 modelo de laptops com versão de firmware 1.17.0, existe um manipulador SMI que chama do SMM,” Sparke adicionado.
Como os invasores podem explorar as vulnerabilidades?
Para explorar a fraqueza, os agentes de ameaças devem localizar o endereço de memória da função LocateProtocol e, em seguida, sobrescrevê-lo com código malicioso. Isso permitiria que eles acionassem a execução do código dizendo ao manipulador SMI para executar. Para alavancar com sucesso a falha, os agentes de ameaças precisam ter privilégios de nível root/SYSTEM e devem executar o código no modo de gerenciamento do sistema (SMM).
O objetivo do ataque seria substituir a implementação UEFI (BIOS) do dispositivo de destino com imagens de BIOS controladas por agentes de ameaças. Isso pode permitir que eles larguem malware persistente em dispositivos afetados que não podem ser removidos de nenhuma maneira “clássica” (i.e. por ferramentas anti-malware ou reinstalação do sistema operacional).
No início deste ano, em fevereiro, finalmente 23 vulnerabilidades foram descobertos em várias implementações de firmware UEFI implementadas por vários fornecedores, como HP, Lenovo, Juniper Networks, e Fujitsu. As falhas foram localizadas no firmware InsydeH2O UEFI da Insyde Software, com a maioria das falhas decorrentes do modo SMM (administração de sistema).
Você sabia?
Unified Extensible Firmware Interface (UEFI) é uma tecnologia que conecta o firmware de um computador ao seu sistema operacional. O objetivo da UEFI é, eventualmente, substituir o BIOS legado. A tecnologia é instalada durante a fabricação. É também o primeiro programa executado quando um computador é iniciado.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: