Kritische Sicherheitslücken im UEFI-BIOS vieler Hersteller

Painkiller

Moderator
Teammitglied
Moin :kaffee:

wie diverse Cybersecurity-Websites berichten, haben Forscher der Firmware-Schutzfirma "Binarly" kritische Schwachstellen in der UEFI-Firmware von InsydeH2O entdeckt, die von mehreren Computerherstellern wie Fujitsu, Intel, AMD, Lenovo, Dell, ASUS, HP, Siemens, Microsoft und Acer in ihren UEFI-BIOS verwendet wird.

Insgesamt fand Binarly 23 Schwachstellen in der UEFI-Firmware von InsydeH2O. Die meisten (22 Stück) davon im System Management Mode (SMM) welche systemweite Funktionen wie Energieverwaltung und Hardwarekontrollmechanismen bereitstellt.

Die Privilegien des SMM gehen über die des Kernels hinaus, so dass jede Sicherheitslücke in diesem Bereich schwerwiegende Folgen für das anfällige System haben kann.

Genauer gesagt könnte ein lokaler oder remote-Angreifer mit administrativen Rechten, der SMM-Schwachstellen ausnutzt, die folgenden Aufgaben durchführen:
  • Umgehen/Neutralisieren von Hardware-Sicherheitsfunktionen (SecureBoot, Intel BootGuard etc.)
  • Installation von Software, die nicht einfach gelöscht werden kann
  • Schaffung von Hintertüren und Kanälen, um sensible Daten zu stehlen

Welche Sicherheitslücken/Schwachstellen sind gemeint?

Die 23 Schwachstellen laufen unter folgenden CVE-Nummer:
CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE-2021-41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE-2021-43522, CVE-2021-43615, CVE-2021-45969, CVE-2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031, CVE-2022-24069.

1643977637590.png


Von den oben genannten Schwachstellen werden CVE-2021-45969, CVE-2021-45970 und CVE-2021-45971 (SMM) als kritisch eingestuft und erhalten eine Bewertung von 9,8 von 10.


Wie geht es weiter?

Insyde Software hat bereits Firmware-Updates herausgegeben, um alle oben genannten Sicherheitslücken zu beheben, und detaillierte Bulletins veröffentlicht, um den Schweregrad und die Beschreibung für jede Schwachstelle zu bestimmen.

Jetzt die sind OEM-Hersteller am Zug. Sie müssen die Firmware nun in neue UEFI-Updates einbauen und entsprechend verteilen.

Es wird daher sicher einige Zeit dauern, bis die Sicherheitsupdates die Endbenutzer erreichen. Es ist jedoch unwahrscheinlich, dass alle Probleme in allen betroffenen Produkten behoben werden, da einige Geräte das Ende ihrer Lebensdauer (EOL) erreicht haben und nicht mehr unterstützt werden, während andere veraltet sein können, noch bevor ein Patch für sie bereit steht.

Bis jetzt haben nur Insyde, Fujitsu und Intel bestätigt, dass sie von den Schwachstellen betroffen sind, während Rockwell, Supermicro und Toshiba bestätigt haben, dass sie nicht betroffen sind. Der Rest untersucht die Situation noch.

Fujitsu hat bereits UEFI-Updates veröffentlicht.

Gruß
Pain

Quellen: Heise Security, Binarly.io, Insyde Software
 
Endlich wiedermal eine User News die es wert ist sie zu lesen.

Irre, es wird wohl den Turbo zünden um mehr neue Systeme verkaufen zu können, den Herstellern kommt es sicher nicht ungelegen.

Für Intel in mehrfacher weise ein guter Tag, neue BIOS Versionen bedeuten auch das man das OC bei CPUs ohne K leicht unterbinden kann, denn die Leuten wollen das BIOS Update haben.
 
Endlich wiedermal eine User News die es wert ist sie zu lesen.
Merci, freut mich sehr! :)

Für Intel in mehrfacher weise ein guter Tag, neue BIOS Versionen bedeuten auch das man das OC bei CPUs ohne K leicht unterbinden kann, denn die Leuten wollen das BIOS Update haben.
Das könnte dann aber nur die Intel-Bretter betreffen, oder? ASUS & Co. müssen diese Änderungen ja nicht übernehmen. Oder kann Intel ihnen das vorschreiben? :wow:

Irre, es wird wohl den Turbo zünden um mehr neue Systeme verkaufen zu können, den Herstellern kommt es sicher nicht ungelegen.
Nur bezweifel ich, das der 08/15-User von diesen Lücken etwas mitbekommt. Und wenn die User nicht wissen, das die Geräte EOL sind, dann kauft auch keiner.

Klar, im Enterprise-Segment sieht es anders aus. Als ich gelesen hab, das Supermicro nicht betroffen ist, war ich wirklich erleichtert. Ich hab sowas von keinen Bock in einer außerplanmäßigen Wartung an einem Wochenende, bei 30 Servern UEFI-Updates einzuspielen. :ugly:

Mal sehen was von Lenovo und ASUS kommt. Von Lenovo sind unsere Notebooks, und die Desktop-PCs haben ASUS-Boards verbaut.

Auch die mediale Berichterstattung ist bei solchen Dingen eher mangelhaft.
Das hat man auch bei Ripple-20 schon gesehen. Viele dieser Sicherheitslücken schaffen es trotz hoher CVE-Einstufung nicht in die "Boulevard"-Medien.
 
Für Intel in mehrfacher weise ein guter Tag, neue BIOS Versionen bedeuten auch das man das OC bei CPUs ohne K leicht unterbinden kann, denn die Leuten wollen das BIOS Update haben.
Die Endkunden-Mainboard von Asrock, Asus, MSI und Gigabyte setzen, soweit ich weiß, alle auf Aptio beim UEFI. Die sind damit erstmal nicht von einer Lücke Insyde betroffen. Intel wird sicherlich andere Wege finden, wenn sie non-K OC aussperren wollen, aber die Behebung der Sicherheitslücken hier wird es nicht sein.
Insyde wird vor allem bei Komplettsystemen/Notebooks verwendet, wo es dann auch schwerwiegender ist, da viele Leute in dem Bereich wohl eher kein BIOS-Update einspielen werden.
 
Die Endkunden-Mainboard von Asrock, Asus, MSI und Gigabyte setzen, soweit ich weiß, alle auf Aptio beim UEFI.
Korrekt, Consumer Retail Boards verwenden in der Regel ein AMI UEFI.
Insyde sieht man vorrangig bei Notebooks/OEM-Systemen.
Auch die ASUS Workstation-Boards? Das wäre dann echt klasse! :)

Wie sieht es mit Lenovo, Dell, HP und Schenker/XMG aus?
Zu Dell, HP und Schenker hab ich noch keine Info, aber die Info von Lenovo ist gerade eingetrudel und gibt das Riskio als "high" an.

Link:

Laut Lenovo kommen die neuen Updates am 28.02.


@ Lenovo-User
Ladet euch dieses Tool von Lenovo herunter.
1644388638707.png

Mit dem könnt ihr mit wenigen Klicks sämtliche Treiber sowie das BIOS/UEFI aktualisieren. Auch Lenovo-Dockingstations und Desktop-PCs kann man damit aktualisieren. Das Tool funktioniert um Welten besser als, das Lenovo Vantage Tool. Wir benutzen es selbst bei uns hier im Büro und können nur positives berichten! :daumen:

Ganz wichtig! Hängt das Gerät unbedingt an den Strom, sonst können einige Updates nicht ausgeführt werden. BIOS/UEFI und Intel ME brauchen zwigend das Gerät am Strom. Wenn das Tool die Updates installiert, dann lasst bitte die Finger vom Notebook/PC. Kein Surfen, Arbeiten etc. Das nimmt einem das Tool sehr schnell übel!

Die Installation der Updates dauert je nach Patchstand zwischen 5 - 15 Minuten. Bei BIOS/UEFI-Aktualisierung macht das System einen Neustart. Nicht wundern, es kann sein das das Display für 1-2 Minuten komplett Schwarz ist. Dann auf keinen Fall das Gerät hart ausschalten oder ähnliches!
 
Zuletzt bearbeitet:
Ich verstehe das nicht ganz. Betrifft das jetzt nur OEM PCs?

Edit:
Die Endkunden-Mainboard von Asrock, Asus, MSI und Gigabyte setzen, soweit ich weiß, alle auf Aptio beim UEFI. Die sind damit erstmal nicht von einer Lücke Insyde betroffen.
Achso. Scheinbar schon.
 
Zuletzt bearbeitet:
Oder mal vorm Boot die Tastatur abziehen, dann sollte eine Fehlermeldung zum drücken von F1 mit dem Logo des Bios kommen.

Laut Heise ist HP und Dell auch betroffen.

Ab welchem Jahr sind denn die Lücken vorhanden?
 
Zuletzt bearbeitet:
Sind das die gleichen "Forscher" bzw. Sicherheitslüchen die z.B. Gigabyte unter anderem schon hier geschlossen hat -> https://www.gigabyte.com/de/Motherboard/B450-Gaming-X-rev-1x/support#support-dl-bios
Nein, das sind andere Forscher gewesen.

Das BIOS bezieht sich auf diese Lücke:

Gigabyte gibt leider keine CVE-Nummern an. Also kann man schwer sagen, ob das Update für die genannten Lücken ist.
 
Ah ja danke. Gibts irgendwo eine Info ob das in späteren AGESA Versionen gefixt ist oder muss der Hersteller da was machen? Teste grade das Agesa 06b auf 2 Asus B450 Boards und kann erstmal nichts schlechtes davon berichten. Wäre interessant zu Wissen ob der Fix da schon mit drin ist.
 
Ladet euch dieses Tool von Lenovo herunter.
Zumindest bei Dell in Form eines Latitude 5580 kann ich sagen, dass Bios-Updates auch über den Ubuntu-Store kommen. Je nachdem was deine private oder berufliche Lenovo-Spielwiese hergibt, kannst du es ja mal mit dem Filzhut (da wirbt Lenovo sogar teils für) und/oder Ubuntu probieren.

Wenn es um Infos über die CVE geht, dann bei Dell hier suchen: https://www.dell.com/support/security/de-de
Da stößt man dann darauf: https://www.dell.com/support/kbdoc/de-de/000195969/dsa-2022-032
 
Zuletzt bearbeitet:
Die UEFI-Lücken sind leider relativ verbreitet momentan (oder zumindest fällts aktuell eher auf?). Ich habe mich bisher geziert, das aktuelle Update zu installieren weils ein Beta-Bios war bei meinem Board auch wenn auf massive Sicherheitslücken hingewiesen wird und Gigabyte bettelt dass man bitte updaten soll:
1645279518957.png


...und jetzt? Das.

Tja, ich habe nun die Wahl - mache ich mir das neue BIOS mit geschlossener Lücke drauf und damit auch die verbuggte AGESA mit merklich weniger Performance und RAM-Problemen oder lass ichs so wies ist (mit Lücke aber sonst bugfrei).

Ich würde für mich in dem Falle sagen never change a running system... :ka:

Bei mir gehts noch da es ärgerlich aber kein Weltuntergang wäre wenn das System hier bebrickt würde aber wenn man ein echtes Produktivsystem warten sollte ist das echt ne blöde Geschichte.
 
Ich hab für mein MSI Board im Dezember ein finales UEFI mit AGESA 1.2.0.5 installiert und habe keine Nachteile.

Ist vermutlich wie mit den "Leistungsproblemen" unter Windows 11 mit Ryzen CPUs:
Merken tut man davon im Alltag einfach nix :ka:
 
Zurück