UEFI, scovate 23 vulnerabilità molto gravi: coinvolti più di 25 produttori di computer

I ricercatori di Binarly, realtà che si occupa della protezione dei firmware, ha scoperto l'esistenza di vulnerabilità critiche in InsydeH2O, un framework usato da molteplici aziende come Fujitsu, Siemens, Dell, HP, HPE, Lenovo, Microsoft, Intel e Bull Atos per realizzare l'UEFI dei propri dispositivi.

Lo UEFI (Unified Extensible Firmware Interface) è un'interfaccia tra il firmware di un dispositivo e il sistema operativo che gestisce il processo di avvio, la diagnostica e le funzioni di riparazione. In totale i ricercatori di Binarly hanno trovato 23 falle nel codice di InsydeH2O, la maggior parte nel System Management Mode (SMM) che si occupa di funzioni come la gestione energetica e il controllo dell'hardware.

I privilegi di SMM sono superiori rispetto a quelli del kernel del sistema operativo, quindi qualsiasi problema di sicurezza che interessa SMM può avere gravi ripercussioni per il dispositivo vulnerabile. Più nel dettaglio, un malintenzionato in locale o da remoto con privilegi amministrativi capace di sfruttare tali falle può fare molte cose, tra cui invalidare molte funzionalità hardware (SecureBoot, Intel Boot Guard, ecc.), installare malware che non può essere cancellato reinstallando il sistema operativo e creare backdoor tramite i quali sottrarre dati sensibili.

Le falle sono tracciate con i seguenti codici CVE: CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE-2021-41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE-2021-43522, CVE-2021-43615, CVE-2021-45969, CVE-2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031, CVE-2022-24069.

Tre di queste falle relative a SMM (CVE-2021-45969, CVE-2021-45970 e CVE-2021-45971) sono critiche e accompagnate da un punteggio di 9,8 su 10. Dieci delle vulnerabilità scoperte potrebbero essere sfruttate per ottenere maggiori privilegi, dodici falle corrompono la memoria in SMM e una la memoria nel Driver eXecution Environment (DXE) di InsydeH2O.

"La causa principale del problema è stata rintracciata nel codice di riferimento associato al codice del framework per i firmware InsydeH2O", spiega il report di Binarly. "Tutti i suddetti fornitori (oltre 25) utilizzavano l'SDK basato su Insyde per sviluppare le loro parti di firmware (UEFI)", spiegano i ricercatori.

Insyde Software ha rilasciato aggiornamenti per sistemare tutti i problemi di sicurezza identificati, ma per arrivare agli utenti finali questi update devono essere implementati nei firmware dagli OEM, cosa che richiederà del tempo esponendo potenzialmente i prodotti coinvolti ad attacchi.