A Binarly anunciou que foram descobertas 23 falhas no firmware UEFI da InsydeH2O que afetam 25 fornecedores de computadores.
O software UEFI (Unified Extensible Firmware Interface) é uma interface entre o firmware de um dispositivo e o sistema operacional, que lida com o processo de inicialização, diagnóstico do sistema e funções de reparo.
Dito isso, pesquisadores da empresa de proteção de firmware Binarly descobriram vulnerabilidades críticas no firmware UEFI da InsydeH2O, usado por vários fornecedores de computadores, como Fujitsu, Intel, AMD, Lenovo, Dell, ASUS, HP, Siemens, Microsoft e Acer.
Descobertas 23 falhas no firmware UEFI da InsydeH2O
No total, a Binarly encontrou 23 falhas no firmware InsydeH2O UEFI, a maioria delas no System Management Mode (SMM) do software, que fornece funções em todo o sistema, como gerenciamento de energia e controle de hardware.
Os privilégios do SMM excedem os do kernel do sistema operacional, portanto, quaisquer problemas de segurança nesse espaço podem ter consequências graves para o sistema vulnerável.
Mais especificamente, um invasor local ou remoto com privilégios administrativos explorando falhas do SMM pode executar as seguintes tarefas:
- Invalidar muitos recursos de segurança de hardware (SecureBoot, Intel BootGuard)
- Instale software persistente que não pode ser facilmente apagado
- Crie backdoors e canais de comunicação para roubar dados confidenciais
As 23 falhas são rastreadas como: CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE -2021-41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE-2021 -43522, CVE-2021-43615, CVE-2021-45969, CVE-2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031, CVE-2022-24069.
Dos acima, CVE-2021-45969, CVE-2021-45970 e CVE-2021-45971 no SMM são classificados com gravidade crítica, recebendo uma pontuação de 9,8 em 10.
Dez das vulnerabilidades descobertas podem ser exploradas para escalonamento de privilégios, doze falhas de corrupção de memória no SMM e uma é uma vulnerabilidade de corrupção de memória no Driver eXecution Environment (DXE) do InsydeH2O.
“A causa raiz do problema foi encontrada no código de referência associado ao código da estrutura do firmware InsydeH2O.”, explica o relatório de divulgação da Binarly.
“Todos os fornecedores mencionados acima (mais de 25) estavam usando o SDK de firmware baseado em Insyde para desenvolver seus pedaços de firmware (UEFI).”, observa a empresa.
No momento, o Centro de Coordenação CERT dos EUA confirmou três fornecedores com produtos afetados pelos problemas de segurança encontrados no firmware InsydeH2O: Fujitsu, Insyde Software Corporation e Intel (apenas CVE-2020-5953)
A Insyde Software lançou atualizações de firmware para corrigir todas as vulnerabilidades de segurança identificadas e publicou boletins detalhados para atribuir gravidade e descrição para cada falha.
No entanto, essas atualizações de segurança precisam ser adotadas pelos fabricantes de equipamentos originais (OEMs) e enviadas aos produtos afetados.
Todo o processo levará um tempo considerável para que as atualizações de segurança cheguem aos usuários finais.
No entanto, é improvável que todos os problemas sejam resolvidos em todos os produtos afetados, porque alguns dispositivos chegaram ao fim da vida útil e não são mais suportados, enquanto outros podem se tornar obsoletos antes que um patch esteja pronto para eles.
No momento da redação deste artigo, apenas Insyde, Fujitsu e Intel se confirmaram como afetados pelas falhas, enquanto Rockwell, Supermicro e Toshiba foram confirmados como não afetados. Os demais estão investigando.
A Binarly atribui à equipa de resposta a incidentes da Fujitsu a sua rápida reação ao receber os relatórios de vulnerabilidade e a sua abordagem prática para ajudar a ajustá-los corretamente.
Se você deseja verificar a existência das falhas acima em seu sistema, a Binarly publicou essas regras do FwHunt no GitHub para ajudar na detecção.