Kritische Sicherheitslücken im UEFI-BIOS vieler Hersteller

[Painkiller]

Moin

wie diverse Cybersecurity-Websites berichten, haben Forscher der Firmware-Schutzfirma "Binarly" kritische Schwachstellen in der UEFI-Firmware von InsydeH2O entdeckt, die von mehreren Computerherstellern wie Fujitsu, Intel, AMD, Lenovo, Dell, ASUS, HP, Siemens, Microsoft und Acer in ihren UEFI-BIOS verwendet wird.

Insgesamt fand Binarly 23 Schwachstellen in der UEFI-Firmware von InsydeH2O. Die meisten (22 Stück) davon im System Management Mode (SMM) welche systemweite Funktionen wie Energieverwaltung und Hardwarekontrollmechanismen bereitstellt.

Die Privilegien des SMM gehen über die des Kernels hinaus, so dass jede Sicherheitslücke in diesem Bereich schwerwiegende Folgen für das anfällige System haben kann.

Genauer gesagt könnte ein lokaler oder remote-Angreifer mit administrativen Rechten, der SMM-Schwachstellen ausnutzt, die folgenden Aufgaben durchführen:

• Umgehen/Neutralisieren von Hardware-Sicherheitsfunktionen (SecureBoot, Intel BootGuard etc.)
• Installation von Software, die nicht einfach gelöscht werden kann
• Schaffung von Hintertüren und Kanälen, um sensible Daten zu stehlen

Welche Sicherheitslücken/Schwachstellen sind gemeint?

Die 23 Schwachstellen laufen unter folgenden CVE-Nummer:
CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE-2021-41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE-2021-43522, CVE-2021-43615, CVE-2021-45969, CVE-2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031, CVE-2022-24069.

Von den oben genannten Schwachstellen werden CVE-2021-45969, CVE-2021-45970 und CVE-2021-45971 (SMM) als kritisch eingestuft und erhalten eine Bewertung von 9,8 von 10.


Wie geht es weiter?

Insyde Software hat bereits Firmware-Updates herausgegeben, um alle oben genannten Sicherheitslücken zu beheben, und detaillierte Bulletins veröffentlicht, um den Schweregrad und die Beschreibung für jede Schwachstelle zu bestimmen.

Jetzt die sind OEM-Hersteller am Zug. Sie müssen die Firmware nun in neue UEFI-Updates einbauen und entsprechend verteilen.

Es wird daher sicher einige Zeit dauern, bis die Sicherheitsupdates die Endbenutzer erreichen. Es ist jedoch unwahrscheinlich, dass alle Probleme in allen betroffenen Produkten behoben werden, da einige Geräte das Ende ihrer Lebensdauer (EOL) erreicht haben und nicht mehr unterstützt werden, während andere veraltet sein können, noch bevor ein Patch für sie bereit steht.

Bis jetzt haben nur Insyde, Fujitsu und Intel bestätigt, dass sie von den Schwachstellen betroffen sind, während Rockwell, Supermicro und Toshiba bestätigt haben, dass sie nicht betroffen sind. Der Rest untersucht die Situation noch.

Fujitsu hat bereits UEFI-Updates veröffentlicht.

Gruß
Pain

Quellen: Heise Security, Binarly.io, Insyde Software

 

[ΔΣΛ]

Endlich wiedermal eine User News die es wert ist sie zu lesen.

Irre, es wird wohl den Turbo zünden um mehr neue Systeme verkaufen zu können, den Herstellern kommt es sicher nicht ungelegen.

Für Intel in mehrfacher weise ein guter Tag, neue BIOS Versionen bedeuten auch das man das OC bei CPUs ohne K leicht unterbinden kann, denn die Leuten wollen das BIOS Update haben.

 

[Painkiller]

Endlich wiedermal eine User News die es wert ist sie zu lesen.

Merci, freut mich sehr!

Für Intel in mehrfacher weise ein guter Tag, neue BIOS Versionen bedeuten auch das man das OC bei CPUs ohne K leicht unterbinden kann, denn die Leuten wollen das BIOS Update haben.

Das könnte dann aber nur die Intel-Bretter betreffen, oder? ASUS & Co. müssen diese Änderungen ja nicht übernehmen. Oder kann Intel ihnen das vorschreiben?

Irre, es wird wohl den Turbo zünden um mehr neue Systeme verkaufen zu können, den Herstellern kommt es sicher nicht ungelegen.

Nur bezweifel ich, das der 08/15-User von diesen Lücken etwas mitbekommt. Und wenn die User nicht wissen, das die Geräte EOL sind, dann kauft auch keiner.

Klar, im Enterprise-Segment sieht es anders aus. Als ich gelesen hab, das Supermicro nicht betroffen ist, war ich wirklich erleichtert. Ich hab sowas von keinen Bock in einer außerplanmäßigen Wartung an einem Wochenende, bei 30 Servern UEFI-Updates einzuspielen.

Mal sehen was von Lenovo und ASUS kommt. Von Lenovo sind unsere Notebooks, und die Desktop-PCs haben ASUS-Boards verbaut.

Auch die mediale Berichterstattung ist bei solchen Dingen eher mangelhaft.
Das hat man auch bei Ripple-20 schon gesehen. Viele dieser Sicherheitslücken schaffen es trotz hoher CVE-Einstufung nicht in die "Boulevard"-Medien.

 

[LP96]

Für Intel in mehrfacher weise ein guter Tag, neue BIOS Versionen bedeuten auch das man das OC bei CPUs ohne K leicht unterbinden kann, denn die Leuten wollen das BIOS Update haben.

Die Endkunden-Mainboard von Asrock, Asus, MSI und Gigabyte setzen, soweit ich weiß, alle auf Aptio beim UEFI. Die sind damit erstmal nicht von einer Lücke Insyde betroffen. Intel wird sicherlich andere Wege finden, wenn sie non-K OC aussperren wollen, aber die Behebung der Sicherheitslücken hier wird es nicht sein.
Insyde wird vor allem bei Komplettsystemen/Notebooks verwendet, wo es dann auch schwerwiegender ist, da viele Leute in dem Bereich wohl eher kein BIOS-Update einspielen werden.

 

[DARPA]

Die Endkunden-Mainboard von Asrock, Asus, MSI und Gigabyte setzen, soweit ich weiß, alle auf Aptio beim UEFI

Korrekt, Consumer Retail Boards verwenden in der Regel ein AMI UEFI.
Insyde sieht man vorrangig bei Notebooks/OEM-Systemen.

 

[DKK007]

Wie sieht es mit Lenovo, Dell, HP und Schenker/XMG aus?

 

[Painkiller]

Die Endkunden-Mainboard von Asrock, Asus, MSI und Gigabyte setzen, soweit ich weiß, alle auf Aptio beim UEFI.

Korrekt, Consumer Retail Boards verwenden in der Regel ein AMI UEFI.
Insyde sieht man vorrangig bei Notebooks/OEM-Systemen.

Auch die ASUS Workstation-Boards? Das wäre dann echt klasse!

Wie sieht es mit Lenovo, Dell, HP und Schenker/XMG aus?

Zu Dell, HP und Schenker hab ich noch keine Info, aber die Info von Lenovo ist gerade eingetrudel und gibt das Riskio als "high" an.

Link:

InsydeH2O UEFI System Management Mode (SMM) Vulnerabilities - Lenovo Support US

support.lenovo.com

Laut Lenovo kommen die neuen Updates am 28.02.


@ Lenovo-User
Ladet euch dieses Tool von Lenovo herunter.

Mit dem könnt ihr mit wenigen Klicks sämtliche Treiber sowie das BIOS/UEFI aktualisieren. Auch Lenovo-Dockingstations und Desktop-PCs kann man damit aktualisieren. Das Tool funktioniert um Welten besser als, das Lenovo Vantage Tool. Wir benutzen es selbst bei uns hier im Büro und können nur positives berichten!

Ganz wichtig! Hängt das Gerät unbedingt an den Strom, sonst können einige Updates nicht ausgeführt werden. BIOS/UEFI und Intel ME brauchen zwigend das Gerät am Strom. Wenn das Tool die Updates installiert, dann lasst bitte die Finger vom Notebook/PC. Kein Surfen, Arbeiten etc. Das nimmt einem das Tool sehr schnell übel!

Die Installation der Updates dauert je nach Patchstand zwischen 5 - 15 Minuten. Bei BIOS/UEFI-Aktualisierung macht das System einen Neustart. Nicht wundern, es kann sein das das Display für 1-2 Minuten komplett Schwarz ist. Dann auf keinen Fall das Gerät hart ausschalten oder ähnliches!

 

[RyzA]

Ich verstehe das nicht ganz. Betrifft das jetzt nur OEM PCs?

Edit:

Die Endkunden-Mainboard von Asrock, Asus, MSI und Gigabyte setzen, soweit ich weiß, alle auf Aptio beim UEFI. Die sind damit erstmal nicht von einer Lücke Insyde betroffen.

Achso. Scheinbar schon.

 

[DARPA]

Auch die ASUS Workstation-Boards? Das wäre dann echt klasse!

Ich schätze mal schon.
In der Regel steht das in den technischen Spezifikationen, wo man auch sieht welcher Bios Chip (Größe) verbaut ist.
Zum Beispiel "16 MB Flash ROM, EFI AMI BIOS"

 

[DKK007]

Oder mal vorm Boot die Tastatur abziehen, dann sollte eine Fehlermeldung zum drücken von F1 mit dem Logo des Bios kommen.

Laut Heise ist HP und Dell auch betroffen.

Updates notwendig: Sicherheitslücken im UEFI-BIOS erleichtern Rootkitverankerung

Zahlreiche Bugs in UEFI-BIOS-Versionen der Firma Insyde H2O betreffen auch große PC-Hersteller. Sie erleichtern gezielte Angriffe auf Desktop-PCs und Notebooks.

www.heise.de

Ab welchem Jahr sind denn die Lücken vorhanden?

 

[Cross-Flow]

Sind das die gleichen "Forscher" bzw. Sicherheitslüchen die z.B. Gigabyte unter anderem schon hier geschlossen hat -> https://www.gigabyte.com/de/Motherboard/B450-Gaming-X-rev-1x/support#support-dl-bios

Ich hab mich schon gefragt was GB mit diesen neuen Biosen meint.

 

[Painkiller]

Sind das die gleichen "Forscher" bzw. Sicherheitslüchen die z.B. Gigabyte unter anderem schon hier geschlossen hat -> https://www.gigabyte.com/de/Motherboard/B450-Gaming-X-rev-1x/support#support-dl-bios

Nein, das sind andere Forscher gewesen.

Das BIOS bezieht sich auf diese Lücke:

Adventures From UEFI Land: the Hunt For the S3 Boot Script - SentinelLabs

In Part 4 of our UEFI Internals and Exploitation series, we abandon VMs and dive into UEFI on a physical machine. The quest: recovery of the S3 Boot Script.

www.sentinelone.com

Gigabyte gibt leider keine CVE-Nummern an. Also kann man schwer sagen, ob das Update für die genannten Lücken ist.

Fix for potential security vulnerabilities in GIGABYTE motherboard BIOS | Security & Technical Advisory - GIGABYTE Global

Summary: Potential security vulnerabilities in GIGABYTE motherboard BIOS including both Intel and AMD platforms, some SMM modules don’t validate calle...

www.gigabyte.com

 

[Cross-Flow]

Ah ja danke. Gibts irgendwo eine Info ob das in späteren AGESA Versionen gefixt ist oder muss der Hersteller da was machen? Teste grade das Agesa 06b auf 2 Asus B450 Boards und kann erstmal nichts schlechtes davon berichten. Wäre interessant zu Wissen ob der Fix da schon mit drin ist.

 

[Olstyle]

AGESA ist der SOC Treiber von AMD, der hat nichts mit den Management Optionen des UEFI zu tun.

 

[Poulton]

Ladet euch dieses Tool von Lenovo herunter.

Zumindest bei Dell in Form eines Latitude 5580 kann ich sagen, dass Bios-Updates auch über den Ubuntu-Store kommen. Je nachdem was deine private oder berufliche Lenovo-Spielwiese hergibt, kannst du es ja mal mit dem Filzhut (da wirbt Lenovo sogar teils für) und/oder Ubuntu probieren.

Dell

Wenn es um Infos über die CVE geht, dann bei Dell hier suchen: https://www.dell.com/support/security/de-de
Da stößt man dann darauf: https://www.dell.com/support/kbdoc/de-de/000195969/dsa-2022-032

 

[Incredible Alk]

Die UEFI-Lücken sind leider relativ verbreitet momentan (oder zumindest fällts aktuell eher auf?). Ich habe mich bisher geziert, das aktuelle Update zu installieren weils ein Beta-Bios war bei meinem Board auch wenn auf massive Sicherheitslücken hingewiesen wird und Gigabyte bettelt dass man bitte updaten soll:

...und jetzt? Das.

AGESA v2 1.2.0.5 für AMD Ryzen: Neueste Firmware ist nur mit Vorsicht zu installieren

AGESA ComboAM4v2 1.2.0.5, die neueste „stabile“ Firmware für AM4-Mainboards, ist vorerst noch mit Vorsicht zu installieren.

www.computerbase.de

Tja, ich habe nun die Wahl - mache ich mir das neue BIOS mit geschlossener Lücke drauf und damit auch die verbuggte AGESA mit merklich weniger Performance und RAM-Problemen oder lass ichs so wies ist (mit Lücke aber sonst bugfrei).

Ich würde für mich in dem Falle sagen never change a running system...

Bei mir gehts noch da es ärgerlich aber kein Weltuntergang wäre wenn das System hier bebrickt würde aber wenn man ein echtes Produktivsystem warten sollte ist das echt ne blöde Geschichte.

 

[chill_eule]

Ich hab für mein MSI Board im Dezember ein finales UEFI mit AGESA 1.2.0.5 installiert und habe keine Nachteile.

Ist vermutlich wie mit den "Leistungsproblemen" unter Windows 11 mit Ryzen CPUs:
Merken tut man davon im Alltag einfach nix