Moin
wie diverse Cybersecurity-Websites berichten, haben Forscher der Firmware-Schutzfirma "Binarly" kritische Schwachstellen in der UEFI-Firmware von InsydeH2O entdeckt, die von mehreren Computerherstellern wie Fujitsu, Intel, AMD, Lenovo, Dell, ASUS, HP, Siemens, Microsoft und Acer in ihren UEFI-BIOS verwendet wird.
Insgesamt fand Binarly 23 Schwachstellen in der UEFI-Firmware von InsydeH2O. Die meisten (22 Stück) davon im System Management Mode (SMM) welche systemweite Funktionen wie Energieverwaltung und Hardwarekontrollmechanismen bereitstellt.
Die Privilegien des SMM gehen über die des Kernels hinaus, so dass jede Sicherheitslücke in diesem Bereich schwerwiegende Folgen für das anfällige System haben kann.
Genauer gesagt könnte ein lokaler oder remote-Angreifer mit administrativen Rechten, der SMM-Schwachstellen ausnutzt, die folgenden Aufgaben durchführen:
Welche Sicherheitslücken/Schwachstellen sind gemeint?
Die 23 Schwachstellen laufen unter folgenden CVE-Nummer:
CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE-2021-41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE-2021-43522, CVE-2021-43615, CVE-2021-45969, CVE-2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031, CVE-2022-24069.
Von den oben genannten Schwachstellen werden CVE-2021-45969, CVE-2021-45970 und CVE-2021-45971 (SMM) als kritisch eingestuft und erhalten eine Bewertung von 9,8 von 10.
Wie geht es weiter?
Insyde Software hat bereits Firmware-Updates herausgegeben, um alle oben genannten Sicherheitslücken zu beheben, und detaillierte Bulletins veröffentlicht, um den Schweregrad und die Beschreibung für jede Schwachstelle zu bestimmen.
Jetzt die sind OEM-Hersteller am Zug. Sie müssen die Firmware nun in neue UEFI-Updates einbauen und entsprechend verteilen.
Es wird daher sicher einige Zeit dauern, bis die Sicherheitsupdates die Endbenutzer erreichen. Es ist jedoch unwahrscheinlich, dass alle Probleme in allen betroffenen Produkten behoben werden, da einige Geräte das Ende ihrer Lebensdauer (EOL) erreicht haben und nicht mehr unterstützt werden, während andere veraltet sein können, noch bevor ein Patch für sie bereit steht.
Bis jetzt haben nur Insyde, Fujitsu und Intel bestätigt, dass sie von den Schwachstellen betroffen sind, während Rockwell, Supermicro und Toshiba bestätigt haben, dass sie nicht betroffen sind. Der Rest untersucht die Situation noch.
Fujitsu hat bereits UEFI-Updates veröffentlicht.
Gruß
Pain
Quellen: Heise Security, Binarly.io, Insyde Software
wie diverse Cybersecurity-Websites berichten, haben Forscher der Firmware-Schutzfirma "Binarly" kritische Schwachstellen in der UEFI-Firmware von InsydeH2O entdeckt, die von mehreren Computerherstellern wie Fujitsu, Intel, AMD, Lenovo, Dell, ASUS, HP, Siemens, Microsoft und Acer in ihren UEFI-BIOS verwendet wird.
Insgesamt fand Binarly 23 Schwachstellen in der UEFI-Firmware von InsydeH2O. Die meisten (22 Stück) davon im System Management Mode (SMM) welche systemweite Funktionen wie Energieverwaltung und Hardwarekontrollmechanismen bereitstellt.
Die Privilegien des SMM gehen über die des Kernels hinaus, so dass jede Sicherheitslücke in diesem Bereich schwerwiegende Folgen für das anfällige System haben kann.
Genauer gesagt könnte ein lokaler oder remote-Angreifer mit administrativen Rechten, der SMM-Schwachstellen ausnutzt, die folgenden Aufgaben durchführen:
- Umgehen/Neutralisieren von Hardware-Sicherheitsfunktionen (SecureBoot, Intel BootGuard etc.)
- Installation von Software, die nicht einfach gelöscht werden kann
- Schaffung von Hintertüren und Kanälen, um sensible Daten zu stehlen
Welche Sicherheitslücken/Schwachstellen sind gemeint?
Die 23 Schwachstellen laufen unter folgenden CVE-Nummer:
CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE-2021-41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE-2021-43522, CVE-2021-43615, CVE-2021-45969, CVE-2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031, CVE-2022-24069.
Von den oben genannten Schwachstellen werden CVE-2021-45969, CVE-2021-45970 und CVE-2021-45971 (SMM) als kritisch eingestuft und erhalten eine Bewertung von 9,8 von 10.
Wie geht es weiter?
Insyde Software hat bereits Firmware-Updates herausgegeben, um alle oben genannten Sicherheitslücken zu beheben, und detaillierte Bulletins veröffentlicht, um den Schweregrad und die Beschreibung für jede Schwachstelle zu bestimmen.
Jetzt die sind OEM-Hersteller am Zug. Sie müssen die Firmware nun in neue UEFI-Updates einbauen und entsprechend verteilen.
Es wird daher sicher einige Zeit dauern, bis die Sicherheitsupdates die Endbenutzer erreichen. Es ist jedoch unwahrscheinlich, dass alle Probleme in allen betroffenen Produkten behoben werden, da einige Geräte das Ende ihrer Lebensdauer (EOL) erreicht haben und nicht mehr unterstützt werden, während andere veraltet sein können, noch bevor ein Patch für sie bereit steht.
Bis jetzt haben nur Insyde, Fujitsu und Intel bestätigt, dass sie von den Schwachstellen betroffen sind, während Rockwell, Supermicro und Toshiba bestätigt haben, dass sie nicht betroffen sind. Der Rest untersucht die Situation noch.
Fujitsu hat bereits UEFI-Updates veröffentlicht.
Gruß
Pain
Quellen: Heise Security, Binarly.io, Insyde Software