Kwetsbaarheden in UEFI-firmware meerdere computerleveranciers ontdekt

[Captain Kirk]

Onderzoekers hebben in de UEFI-firmware van verschillende computerleveranciers kwetsbaarheden ontdekt waardoor een aanvaller die al toegang tot het systeem heeft beveiligingsmaatregelen kan omzeilen en lastig te detecteren en verwijderen rootkits en backdoors kan installeren.

De in totaal 23 kwetsbaarheden zijn aanwezig in de UEFI-firmware van Insyde, waar weer allerlei computerleveranciers van gebruikmaken. UEFI biedt een interface tussen het besturingssysteem en de firmware van het systeem. Voor het verwerken van systeembrede functies, zoals energiebeheer, maakt UEFI-software gebruik van de System Management Mode (SMM). De rechten van SMM, ook wel Ring 2 genoemd, zijn hoger dan de rechten van de kernel van het besturingssysteem (Ring 0).

Door de kwetsbaarheden kan een aanvaller willekeurige code in SMM-mode uitvoeren. Hierdoor is het mogelijk om bijvoorbeeld malware te installeren die de herinstallatie van het besturingssysteem overleeft en het mogelijk maakt om antivirussoftware, Secure Boot en virtualisatie-gebaseerde isolatie te omzeilen. Om misbruik van de kwetsbaarheden te maken moet een aanvaller wel adminrechten op het aangevallen systeem hebben.

Volgens securitybedrijf Binarly, dat de kwetsbaarheden ontdekte, zijn UEFI-implementaties van Fujitsu, Siemens, Dell, HP, HPE, Lenovo, Microsoft, Intel en Bull Atos kwetsbaar. Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit meldt dat de kwetsbaarheden zijn bevestigd in de UEFI-implementaties van Fujitsu en Bull Atos, maar dat dezelfde software ook aanwezig is in de implementaties van veel andere leveranciers. Het CERT/CC heeft echter nog niet bevestigd dat deze andere leveranciers ook daadwerkelijk kwetsbaar zijn. Gebruikers wordt aangeraden om de laatste firmware-update van hun leverancier te installeren.

 

bron: https://www.security.nl