HP patcht 16 UEFI-firmwarebugs die insluipende malware-infecties mogelijk maken

3 reacties

HP heeft 16 zeer ernstige kwetsbaarheden in zijn uefi-firmware gepatcht die bedreigers in staat zouden kunnen stellen apparaten te infecteren met malware die hoge privileges verkrijgt en niet kan worden gedetecteerd door geïnstalleerde beveiligingssoftware. De kwetsbaarheden treffen meerdere HP-apparaten, waaronder laptops, desktopcomputers, PoS-systemen en edge computing nodes.

De zwakke plekken zijn ontdekt door onderzoekers van Binarly, hetzelfde team dat in februari een andere reeks uefi-fouten publiceerde die 25 computerleveranciers trof. Een paar dagen later presenteerde de oprichter van Binarly op de OffensiveCon vijf nieuwe uefi-fouten die HP betroffen, waarop laatstgenoemde met beveiligingsupdates kwam om ze te verhelpen.

Inmiddels hebben Binarly, HP en de CERT/CC de openbaarmaking van de volledige reeks nieuw ontdekte kwetsbaarheden gecoördineerd, waaronder zich elf nieuwe kwetsbaarheden bevinden die van invloed zijn op de HPE uefi-firmware. Deze kwetsbaarheden zijn onderverdeeld in drie groepen op basis van de component/functie die wordt misbruikt:

SMM Callout (Privilege Escalation)

  • CVE-2021-39298: callout leading to privilege escalation (CVSS – 7.5)
  • CVE-2021-23932: callout leading to privilege escalation (CVSS – 8.2)
  • CVE-2021-23933: callout leading to privilege escalation (CVSS – 8.2)

SSM (System Management Module)

  • CVE-2021-23924: heap buffer overflow leading to arbitrary code execution (CVSS – 8.2)
  • CVE-2021-23925: memory corruption leading to arbitrary code execution (CVSS – 8.2)
  • CVE-2021-23926: memory corruption leading to arbitrary code execution (CVSS – 8.2)
  • CVE-2021-23927: memory corruption leading to arbitrary code execution (CVSS – 8.2)
  • CVE-2021-23928: memory corruption leading to arbitrary code execution (CVSS – 8.2)
  • CVE-2021-23929: memory corruption leading to arbitrary code execution (CVSS – 8.2)
  • CVE-2021-23930: heap buffer overflow leading to arbitrary code execution (CVSS – 8.2)
  • CVE-2021-23931: heap buffer overflow leading to arbitrary code execution (CVSS – 8.2)
  • CVE-2021-23934: memory corruption leading to arbitrary code execution(CVSS – 8.2)

DXE (Driver eXecution Environment)

  • CVE-2021-39297: stack buffer overflow leading to arbitrary code execution (CVSS – 7.7)
  • CVE-2021-39299: stack buffer overflow leading to arbitrary code execution (CVSS – 8.2)
  • CVE-2021-39300: stack overflow leading to arbitrary code execution (CVSS – 8.2)
  • CVE-2021-39301: stack overflow leading to arbitrary code execution (CVSS – 7.7)

Omdat zowel DXE als SSM worden geactiveerd voordat het besturingssysteem wordt opgestart, overschrijden gebreken die in deze componenten worden uitgebuit de voorrechten van het kernelbesturingssysteem en omzeilen zij alle beveiligingen.

Afbeelding afkomstig van Binarly

Ook kan een kwaadwillende deze mogelijk misbruiken om hardnekkige firmware-malware te implanteren die OS-updates overleeft en uefi secure Boot, Intel Boot Guard en virtualisatiebeveiligingsoplossingen omzeilt.

Op dit moment is de enige manier om het veiligheidsrisico aan te pakken het toepassen van de beschikbare firmware-updates van HP's BIOS-upgradeportaal, of door  deze instructies te volgen.

Een van de zwakke plekken, CVE-2021-39298, is geïdentificeerd als een kwetsbaarheid in de AMD-referentiecode en treft als zodanig niet alleen HP maar een veelvoud aan computerfabrikanten die gebruik maken van het specifieke firmware-stuurprogramma (AgesaSmmSaveMemoryConfig).

Afbeelding afkomstig van Binarly

Deze fout is een geval van misbruik van de EFI_BOOT_SERVICES en EFI_RUNTIME_SERVICES, omdat het mogelijk maakt dat de DXE runtime zonder privileges code uitvoert binnen SMM, wat in strijd is met de gevestigde beveiligingspraktijken.

Als zodanig zal het CERT/CC samenwerken met alle betrokken leveranciers om hen te helpen ten minste voor ondersteunde producten oplossingen te vinden voor deze privilege escalatiefout.

Bron: BleepingComputer

« Vorig bericht Volgend bericht »
0

Hardware Info maakt gebruik van cookies

Hardware Info plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Hardware Info relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie.

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Hardware Info contextuele advertenties te tonen op basis van pagina's die je hebt bezocht.

    janee

    Hardware Info genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Hardware Info gevolgd worden. Deze data wordt maximaal 2 weken bewaard. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden.

    janee