UEFI, scovate 23 vulnerabilità molto gravi: coinvolti più di 25 produttori di computer

Ricercatori di sicurezza hanno scoperto 23 falle molto pericolose nel software di uno dei principali sviluppatori di BIOS. I problemi si riverberano quindi su numerose aziende che usano quel codice per realizzare il loro firmware UEFI.
di Manolo De Agostini pubblicata il 02 Febbraio 2022, alle 17:21 nel canale SicurezzaI ricercatori di Binarly, realtà che si occupa della protezione dei firmware, ha scoperto l'esistenza di vulnerabilità critiche in InsydeH2O, un framework usato da molteplici aziende come Fujitsu, Siemens, Dell, HP, HPE, Lenovo, Microsoft, Intel e Bull Atos per realizzare l'UEFI dei propri dispositivi.
Lo UEFI (Unified Extensible Firmware Interface) è un'interfaccia tra il firmware di un dispositivo e il sistema operativo che gestisce il processo di avvio, la diagnostica e le funzioni di riparazione. In totale i ricercatori di Binarly hanno trovato 23 falle nel codice di InsydeH2O, la maggior parte nel System Management Mode (SMM) che si occupa di funzioni come la gestione energetica e il controllo dell'hardware.
I privilegi di SMM sono superiori rispetto a quelli del kernel del sistema operativo, quindi qualsiasi problema di sicurezza che interessa SMM può avere gravi ripercussioni per il dispositivo vulnerabile. Più nel dettaglio, un malintenzionato in locale o da remoto con privilegi amministrativi capace di sfruttare tali falle può fare molte cose, tra cui invalidare molte funzionalità hardware (SecureBoot, Intel Boot Guard, ecc.), installare malware che non può essere cancellato reinstallando il sistema operativo e creare backdoor tramite i quali sottrarre dati sensibili.
Le falle sono tracciate con i seguenti codici CVE: CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE-2021-41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE-2021-43522, CVE-2021-43615, CVE-2021-45969, CVE-2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031, CVE-2022-24069.
Tre di queste falle relative a SMM (CVE-2021-45969, CVE-2021-45970 e CVE-2021-45971) sono critiche e accompagnate da un punteggio di 9,8 su 10. Dieci delle vulnerabilità scoperte potrebbero essere sfruttate per ottenere maggiori privilegi, dodici falle corrompono la memoria in SMM e una la memoria nel Driver eXecution Environment (DXE) di InsydeH2O.
"La causa principale del problema è stata rintracciata nel codice di riferimento associato al codice del framework per i firmware InsydeH2O", spiega il report di Binarly. "Tutti i suddetti fornitori (oltre 25) utilizzavano l'SDK basato su Insyde per sviluppare le loro parti di firmware (UEFI)", spiegano i ricercatori.
Insyde Software ha rilasciato aggiornamenti per sistemare tutti i problemi di sicurezza identificati, ma per arrivare agli utenti finali questi update devono essere implementati nei firmware dagli OEM, cosa che richiederà del tempo esponendo potenzialmente i prodotti coinvolti ad attacchi.
43 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoCiao
Pochi giorni fa c'era anche una news in cui distribuivano malware via Windows Update, non ricordo come facevano, ma con Pluton che si aggiorna proprio così saremmo fottuti...
ma è per la vostra sicurezzaHHH!!! si si, mi avete convintoH.
edit: ecco la news (link alla fonte invece che a Tom's dove l'ho letta, per graziare Manolo):
https://blog.malwarebytes.com/threa...atest-campaign/
più una cosa è pubblicizzata in un certo modo, più è l'esatto contrario...
Io sono ancora fermo a W7 e molto probabilmente salterò direttamente a Linux senza provare le successive vesioni delle finestre.
E tengo il 7 fin che mi fa funzionare i vari giochi già in uso, poi mi darò al solo retrogaming o a quelli che girano anche sul pinguino
Veramente ridicoli...
Se c'è una cosa veramente odiosa è proprio UEFI, chi l'ha descritto come "ufficio complicazione affari semplici" ha azzeccato il concetto.
Il problema è che adesso lo aggiri bypassandolo e utilizzando Legacy, ma a breve (grazie M$ e win11) saranno tutti UEFI puro...
Sempre che le case di mainboard non facciano riottismo e, come per AVX-512, se ne sbattono delle indicazione di mamma M$, continuando a montare ibridi BIOS/UEFI.
Io mi sto dannando abbastanza su una macchina per assemblata HP che, cambiata scheda video, ho dovuto girarla su Legacy perché al UEFI sta sulle balle la nuova... E se resetto il BIOS...?
Bho... Vedremo
Imho
Quello pensa ed è così perchè lo pensa lui da ing. informatico e vari altri phd
Se siete così furbi mandate curriculum vitae nei posti giusti e quadruplicate lo stipendio, poi magari ve ne andate dall' italia che è un paese di merda e siete a posto !
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".