Аналитики компании Binarly обнаружили 23 критические уязвимости в UEFI от InsydeH2O, которая используется многими крупными вендорами, включая HP, Lenovo, Fujitsu, Microsoft, Intel, Dell, Bull (Atos) и Siemens, пишет Хакер.
Исследователи говорят, что суммарно эти баги могут затрагивать миллионы устройств, включая ноутбуки, серверы, маршрутизаторы, сетевое оборудование, ICS и различные периферийные девайсы. В общей сложности проблемы касаются продукции более чем 25 поставщиков.
Большинство уязвимостей было найдено в коде System Management Mode (SMM), который отвечает за общесистемные функции, такие как управление питанием и аппаратным обеспечением.
Так как привилегии SMM превышают даже привилегии ядра ОС, любые проблемы с безопасностью в этом пространстве могут иметь крайне серьезные последствия. В частности, локальный или удаленный злоумышленник с правами администратора получит возможность выполнить следующие действия:
«Активная эксплуатация всех обнаруженных уязвимостей может не обнаруживаться системами мониторинга целостности прошивки из-за ограничений Trusted Platform Module (TPM). Решения для удаленной аттестации работоспособности устройств так же не обнаружат уязвимые системы из-за конструктивных ограничений», — предупреждают эксперты.
На данный момент американский CERT подтвердил наличие уязвимостей в продуктах трех поставщиков продуктов: Fujitsu, Insyde Software Corporation и Intel (только баг CVE-2020-5953).
Разработчики InsydeH2O из компании Insyde Software уже выпустили патчи, устраняющие все найденные баги, а также опубликовали бюллетени безопасности, где каждая проблема разобрана детально. К сожалению, сначала эти обновления должны быть приняты в работу OEM-производителями, и лишь затем они будут распространены на уязвимые продукты. Весь этот процесс займет немало времени, то есть патчи дойдут до конечных пользователей еще нескоро.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.