Maar liefst 23 nieuwe zeer ernstige beveiligingsproblemen zijn onthuld in verschillende implementaties van Unified Extensible Firmware Interface (UEFI) firmware die wordt gebruikt door tal van leveranciers, waaronder Bull Atos, Fujitsu, HP, Juniper Networks, Lenovo, onder anderen.
De kwetsbaarheden bevinden zich in de InsydeH2O UEFI-firmware van Insyde Software, volgens het beveiligingsbedrijf voor bedrijfsfirmware binairwaarbij de meeste anomalieën worden gediagnosticeerd in de systeembeheermodus (SMM).
UEFI is een softwarespecificatie die een standaard programmeerinterface biedt die de firmware van een computer verbindt met het besturingssysteem tijdens het opstartproces. In x86-systemen wordt de UEFI-firmware meestal opgeslagen in de flashgeheugenchip van het moederbord.
“Door deze kwetsbaarheden te misbruiken, kunnen aanvallers met succes malware installeren die herinstallaties van het besturingssysteem overleeft en het omzeilen van endpoint security-oplossingen (EDR/AV) mogelijk maakt), Veilig opstartenen op virtualisatie gebaseerde beveiligingsisolatie”, aldus de onderzoekers.
Succesvolle exploitatie van de fouten (CVSS-scores: 7,5 – 8,2) zou een kwaadwillende actor in staat kunnen stellen willekeurige code met SMM-machtigingen uit te voeren, een speciale uitvoeringsmodus in x86-gebaseerde processors die energiebeheer, hardwareconfiguratie, thermische bewaking en andere afhandelt functies.
“SMM-code wordt uitgevoerd op het hoogste privilegeniveau en is onzichtbaar voor het besturingssysteem, waardoor het een aantrekkelijk doelwit is voor kwaadwillende activiteiten”, zegt Microsoft. notities in de documentatie, het toevoegen van de SMM-aanvalsvector zou kunnen worden misbruikt door een stukje snode code om een andere code met hogere privileges te misleiden om ongeautoriseerde activiteiten uit te voeren.
Erger nog, de zwakke punten kunnen ook aan elkaar worden geketend om beveiligingsfuncties te omzeilen en malware te installeren op een manier die herinstallaties van het besturingssysteem overleeft en langdurige persistentie op gecompromitteerde systemen bereikt – zoals waargenomen in het geval van MoonBounce – terwijl heimelijk een communicatiekanaal wordt gecreëerd om gevoelige gegevens te exfiltreren.
Insyde heeft uitgebracht firmware-patches die deze tekortkomingen aanpakken als onderdeel van de gecoördineerde openbaarmaking werkwijze. Maar het feit dat de software in verschillende OEM-implementaties wordt gebruikt, betekent dat het een behoorlijke tijd kan duren voordat de fixes daadwerkelijk doorsijpelen naar de getroffen apparaten.
