Categorie
Notizie

HP risolve 16 bug del firmware UEFI che consentono infezioni malware furtive

Tempo di lettura: 3 minuti.

HP ha rivelato 16 vulnerabilità del firmware UEFI ad alto impatto che potrebbero consentire agli attori delle minacce di infettare i dispositivi con malware che guadagnano privilegi elevati e rimangono non rilevabili dal software di sicurezza installato.

Queste vulnerabilità interessano più modelli HP, tra cui computer portatili, desktop, sistemi PoS e nodi di edge computing.

Le falle sono state scoperte dai ricercatori di Binarly, lo stesso team che ha pubblicato un’altra serie di falle UEFI che colpiscono 25 fornitori di computer a febbraio.

Pochi giorni dopo, il fondatore di Binarly ha presentato cinque nuove falle UEFI che colpiscono HP all’OffensiveCon, e HP ha rilasciato l’aggiornamento di sicurezza corrispondente per affrontarle.

Oggi, Binarly, HP e il CERT/CC hanno coordinato la divulgazione dell’insieme completo delle nuove vulnerabilità scoperte, comprese 11 nuove vulnerabilità che colpiscono il firmware HPE UEFI.

Queste vulnerabilità sono separate in tre gruppi in base al componente/caratteristica che viene sfruttato:

SMM Callout (Escalation dei privilegi)

CVE-2021-39298: callout che porta all’escalation dei privilegi (CVSS – 7.5)
CVE-2021-23932: callout che porta all’escalation dei privilegi (CVSS – 8.2)
CVE-2021-23933: callout che porta all’escalation dei privilegi (CVSS – 8.2)


SSM (modulo di gestione del sistema)

  • CVE-2021-23924: heap buffer overflow che porta all’esecuzione di codice arbitrario (CVSS – 8.2)
  • CVE-2021-23925: corruzione della memoria che porta all’esecuzione di codice arbitrario (CVSS – 8.2)
  • CVE-2021-23926: corruzione della memoria che porta all’esecuzione di codice arbitrario (CVSS – 8.2)
  • CVE-2021-23927: corruzione della memoria che porta all’esecuzione di codice arbitrario (CVSS – 8.2)
  • CVE-2021-23928: corruzione della memoria che porta all’esecuzione di codice arbitrario (CVSS – 8.2)
  • CVE-2021-23929: corruzione della memoria che porta all’esecuzione di codice arbitrario (CVSS – 8.2)
  • CVE-2021-23930: heap buffer overflow che porta all’esecuzione di codice arbitrario (CVSS – 8.2)
  • CVE-2021-23931: heap buffer overflow che porta all’esecuzione di codice arbitrario (CVSS – 8.2)
  • CVE-2021-23934: corruzione della memoria che porta all’esecuzione di codice arbitrario (CVSS – 8.2)


DXE (Driver eXecution Environment)

  • CVE-2021-39297: stack buffer overflow che porta all’esecuzione di codice arbitrario (CVSS – 7.7)
  • CVE-2021-39299: stack buffer overflow che porta all’esecuzione di codice arbitrario (CVSS – 8.2)
  • CVE-2021-39300: stack overflow che porta all’esecuzione di codice arbitrario (CVSS – 8.2)
  • CVE-2021-39301: stack overflow che porta all’esecuzione di codice arbitrario (CVSS – 7.7)

Poiché sia DXE che SSM sono attivati prima dell’avvio del sistema operativo, qualsiasi falla sfruttata in questi componenti supera i privilegi del Kernel OS e bypassa tutte le protezioni.

Inoltre, un attore malintenzionato capace potrebbe potenzialmente sfruttarle per impiantare malware firmware persistente che sopravvive agli aggiornamenti del sistema operativo e bypassa UEFI secure Boot, Intel Boot Guard e le soluzioni di sicurezza della virtualizzazione.

Lo sfruttamento attivo di tutte le vulnerabilità scoperte non può essere rilevato dai sistemi di monitoraggio dell’integrità del firmware a causa delle limitazioni della misurazione del Trusted Platform Module (TPM). Le soluzioni di attestazione della salute del dispositivo remoto non rileveranno i sistemi interessati a causa delle limitazioni di progettazione nella visibilità del runtime del firmware“, cita il rapporto di Binarly sulle vulnerabilità.

Purtroppo, la maggior parte dei problemi nelle nostre vulnerabilità segnalate sono fallimenti ripetibili, alcuni dei quali sono dovuti alla complessità del codebase o ai componenti legacy che ottengono meno attenzione alla sicurezza, ma sono ancora ampiamente utilizzati sul campo.

Il malware del firmware non è teorico, in quanto abbiamo riferito di gruppi di hacker sponsorizzati dallo stato che distribuiscono malware UEFI, come MoonBounce, ESPecter, e un loader FinSpy, in passato.

A questo punto, l’unico modo per affrontare il rischio di sicurezza è quello di applicare gli aggiornamenti del firmware disponibili dal portale di aggiornamento BIOS di HP, o seguendo queste istruzioni.

Una delle falle, CVE-2021-39298, è stata identificata come una vulnerabilità del codice di riferimento di AMD, e come tale, non colpisce solo HP ma numerosi fornitori di computer che utilizzano il particolare driver del firmware (AgesaSmmSaveMemoryConfig).

Questa falla è un caso di uso improprio di EFI_BOOT_SERVICES e EFI_RUNTIME_SERVICES perché permette al runtime DXE non privilegiato di eseguire codice all’interno di SMM, che è contro le pratiche di sicurezza stabilite.

Come tale, il CERT/CC si coordinerà con tutti i fornitori interessati per aiutarli a spingere le correzioni per questo difetto di escalation dei privilegi, almeno per i prodotti supportati.

Di Livio Varriale

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro la pedopornografia online, il suo motto è “Coerenza, Costanza, CoScienza”.

Pronto a supportare l'informazione libera?

Iscriviti alla nostra newsletter // Seguici gratuitamente su Google News
Exit mobile version