Af Eskil Sørensen, 28/09/22
Firmwaresikkerhedsfirmaet Binarly har opdaget en række alvorlige firmwaresårbarheder, der kan give en angriber mulighed for at få adgang til millioner af enheder, som anvender firmwaren. Det skriver Security Week.
Der er identificeret syv nye sikkerhedshuller i InsydeH2O UEFI-firmwaren. Firmwaren bruges af en lang række virksomheder, herunder store leverandører såsom HP, Dell, Intel, Microsoft, Fujitsu, Framework og Siemens.
Udnyttelse af de nye sårbarheder kræver ganske vist lokal privilegeret OS-adgang, men mange af sårbarhederne er karakteriseret som værende alvorlige. Fejlene er relateret til System Management Mode (SMM), en højprivilegeret driftstilstand fundet i x86-kompatible processorer, der bruges til systemadministrationsfunktioner på lavt niveau. Disse sårbarheder kan føre til brud på fortroligheden eller vilkårlig afvikling af kode.
Årsagen er, at en angriber kan udnytte sårbarhederne til fx at afvikle kode i forskellige niveauer af firmwaren, enten som et modificeret legitimt modul eller en selvstændig driver. Dette kan få indvirkning på fx sikker opstart ved design. Samtidig vil en evt. udnyttelse være usynlig for de fleste tilgængelige sikkerhedsløsninger på markedet, hedder det.
Hver sårbarhed har fået eget CVE-nummer og CVSS-score, der ligger mellem 6,0 til 8,2.
Ikke første gang
Selv om der er udgivet patches til hver af sårbarhederne, vurderes det at tage op mod ni måneder før rettelserne er implementeret. Det skyldes, at det er producenterne af enhederne, der skal opdatere deres produkter i kundernes enheder. En ting er, at firmwareleverandører opdaterer, noget andet er, om opdateringen når helt ud i forsyningskæden.
Det er ikke første gang, Binarly har fundet alvorlige sårbarheder i InsydeH2O-firmwaren. Tidligere i år afslørede blev der afdækket problemer, der potentielt kunne påvirke millioner af virksomhedsenheder, der bruger den berørte kode.
Den seneste afsløring kommer kun få uger efter, at Binarly rapporterede at have fundet lignende sårbarheder, der påvirker Intel og HP-enheder.