UEFI, scovate 23 vulnerabilità molto gravi: coinvolti più di 25 produttori di computer

UEFI, scovate 23 vulnerabilità molto gravi: coinvolti più di 25 produttori di computer

Ricercatori di sicurezza hanno scoperto 23 falle molto pericolose nel software di uno dei principali sviluppatori di BIOS. I problemi si riverberano quindi su numerose aziende che usano quel codice per realizzare il loro firmware UEFI.

di pubblicata il , alle 17:21 nel canale Sicurezza
 

I ricercatori di Binarly, realtà che si occupa della protezione dei firmware, ha scoperto l'esistenza di vulnerabilità critiche in InsydeH2O, un framework usato da molteplici aziende come Fujitsu, Siemens, Dell, HP, HPE, Lenovo, Microsoft, Intel e Bull Atos per realizzare l'UEFI dei propri dispositivi.

Lo UEFI (Unified Extensible Firmware Interface) è un'interfaccia tra il firmware di un dispositivo e il sistema operativo che gestisce il processo di avvio, la diagnostica e le funzioni di riparazione. In totale i ricercatori di Binarly hanno trovato 23 falle nel codice di InsydeH2O, la maggior parte nel System Management Mode (SMM) che si occupa di funzioni come la gestione energetica e il controllo dell'hardware.

I privilegi di SMM sono superiori rispetto a quelli del kernel del sistema operativo, quindi qualsiasi problema di sicurezza che interessa SMM può avere gravi ripercussioni per il dispositivo vulnerabile. Più nel dettaglio, un malintenzionato in locale o da remoto con privilegi amministrativi capace di sfruttare tali falle può fare molte cose, tra cui invalidare molte funzionalità hardware (SecureBoot, Intel Boot Guard, ecc.), installare malware che non può essere cancellato reinstallando il sistema operativo e creare backdoor tramite i quali sottrarre dati sensibili.

Le falle sono tracciate con i seguenti codici CVE: CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE-2021-41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE-2021-43522, CVE-2021-43615, CVE-2021-45969, CVE-2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031, CVE-2022-24069.

Tre di queste falle relative a SMM (CVE-2021-45969, CVE-2021-45970 e CVE-2021-45971) sono critiche e accompagnate da un punteggio di 9,8 su 10. Dieci delle vulnerabilità scoperte potrebbero essere sfruttate per ottenere maggiori privilegi, dodici falle corrompono la memoria in SMM e una la memoria nel Driver eXecution Environment (DXE) di InsydeH2O.

"La causa principale del problema è stata rintracciata nel codice di riferimento associato al codice del framework per i firmware InsydeH2O", spiega il report di Binarly. "Tutti i suddetti fornitori (oltre 25) utilizzavano l'SDK basato su Insyde per sviluppare le loro parti di firmware (UEFI)", spiegano i ricercatori.

Insyde Software ha rilasciato aggiornamenti per sistemare tutti i problemi di sicurezza identificati, ma per arrivare agli utenti finali questi update devono essere implementati nei firmware dagli OEM, cosa che richiederà del tempo esponendo potenzialmente i prodotti coinvolti ad attacchi.

43 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Saturn02 Febbraio 2022, 17:23 #1
Solo 23 ? Pensavo peggio...@microsoft dormi tranquilla se parliamo del tuo windows11 - lo installo dove mi pare, pc-mbr only compresi e alla sicurezza ci penso io....
gomax02 Febbraio 2022, 17:47 #2
E allora Micro$oft dovrà aggiustare il tiro con i requisiti per Windows 12. Suggerisco TPM 7.0.1 associato a un coprocessore crypto-quantico con banda minima di 1TB/s always-on-line. Lo faranno per noi e per la nostra "$icurezza".

Ciao
sbaffo02 Febbraio 2022, 18:25 #3
come si diceva nell'altra news, l'uefi è come l'uffico complicazioni affari semplici, se aumenti la superfice d'attacco ovvio che le vulnerabilità aumentano. Poi ci riempiono di secure-fuffa-tpm-ecc. tutti belli fo..tuti a monte dalle vulnerabilità uefi. E noi fessi tranquilli "tanto c'ho il secure qualcoss, anzi ne ho due, e l'antivirus dice tutt'appost..."

Pochi giorni fa c'era anche una news in cui distribuivano malware via Windows Update, non ricordo come facevano, ma con Pluton che si aggiorna proprio così saremmo fottuti...
ma è per la vostra sicurezzaHHH!!! si si, mi avete convintoH. e ci sono dei fulminati che li difendono!
edit: ecco la news (link alla fonte invece che a Tom's dove l'ho letta, per graziare Manolo):
https://blog.malwarebytes.com/threa...atest-campaign/
paolo cavallo02 Febbraio 2022, 20:59 #4
o mio dio... andiamo bene ...... Tre di queste falle relative a SMM (CVE-2021-45969, CVE-2021-45970 e CVE-2021-45971) sono critiche e accompagnate da un punteggio di 9,8 su 10 ............ i nostri computer in sicurezza sono come il TITANIC
zappy02 Febbraio 2022, 21:06 #5
e UEFI l'hanno fatto per "aumentare la sicurezza"....
più una cosa è pubblicizzata in un certo modo, più è l'esatto contrario...
euscar03 Febbraio 2022, 00:58 #6
Ma dipende dalla combinazione UEFI - W11 ?

Io sono ancora fermo a W7 e molto probabilmente salterò direttamente a Linux senza provare le successive vesioni delle finestre.
E tengo il 7 fin che mi fa funzionare i vari giochi già in uso, poi mi darò al solo retrogaming o a quelli che girano anche sul pinguino
pistillo03 Febbraio 2022, 01:31 #7
a me non mi fregate io continuo ad usare la mia agendina digitale casio
Cappej03 Febbraio 2022, 07:42 #8
Buffoni...
Veramente ridicoli...
Se c'è una cosa veramente odiosa è proprio UEFI, chi l'ha descritto come "ufficio complicazione affari semplici" ha azzeccato il concetto.
Il problema è che adesso lo aggiri bypassandolo e utilizzando Legacy, ma a breve (grazie M$ e win11) saranno tutti UEFI puro...
Sempre che le case di mainboard non facciano riottismo e, come per AVX-512, se ne sbattono delle indicazione di mamma M$, continuando a montare ibridi BIOS/UEFI.
Io mi sto dannando abbastanza su una macchina per assemblata HP che, cambiata scheda video, ho dovuto girarla su Legacy perché al UEFI sta sulle balle la nuova... E se resetto il BIOS...?
Bho... Vedremo
Imho
aqua8403 Febbraio 2022, 07:49 #9
Certo che 23 nuove falle, più quelle precedenti, più quasi sicuramente altre che verranno fuori in seguito fanno GIUSTAMENTE pensare che questo “piccolo” software sia fatto male dall’ inizio alla fine
Sl4pb0t03 Febbraio 2022, 08:54 #10
Minchia quanti profesionisti programmatori l' uefi era necessario per passare poi ad altre cose ma che senso ha spiegarlo ad un sasso ?
Quello pensa ed è così perchè lo pensa lui da ing. informatico e vari altri phd

Se siete così furbi mandate curriculum vitae nei posti giusti e quadruplicate lo stipendio, poi magari ve ne andate dall' italia che è un paese di merda e siete a posto !

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^