UEFI固件程序代码爆23项漏洞,影响微软、Dell、HPE等企业

安全厂商Binarly发现,统一可延伸固件接口(Unified Extensible Firmware Interface,UEFI)固件程序代码有多达23项高风险漏洞,影响多家使用UEFI固件的厂商,包括Dell、HPE/HP、富士通及微软等公司。

Binarly研究人员发现漏洞是存在一家主要独立BIOS开发商(IBV)所开发的UEFI固件。

研究人员一开始是为一家中型企业客户检测安全,发现20多款企业机器出现异常,而且全都指向富士通Lifebook笔记本系列的硬件组态。最后他们发现问题出在系微(Insyde)H2O固件框架的关联程序代码。

这固件用户众,遍及笔记本、服务器、路由器及工控系统厂商。他们已证实受影响的厂商包括富士通、Dell、HPE、HP、微软、英特尔、西门子及Bull Atos。计算机网络危机处理暨协调中心(CERT/CC)也发出了公告。

在InsydeH2O固件中,他们一共识别出23项漏洞,许多和系统管理模式(System Management Mode,SMM)有关。其中10项是SMM Callout(权限升级)、12项属于SMM内存毁损,1项为DXE内存毁损。大部分是漏洞可导致以SMM权限执行程序代码(CVSS风险值在7.5到8.2之间)。这些漏洞可以被串联后用以执行第2阶段攻击,以躲避安全防护,或是长期渗透于系统中(例如最近发现的MoonBounce)。开采这些漏洞攻击者将可安装即使重开机、也无法消除的恶意软件,还能逃过端点安全产品(像是端点回应或杀毒)、Secure Boot及虚拟化的安全隔离技术。

安全厂商强调,由于信任平台模块(TPM)测量的限制,所有这些漏洞一旦遭到开采,将无法被固件完整性监控系统侦测到。由于固件runtime有限的透通性,远程设备健康证明(remote device health attestation)方案也无法侦测受影响的系统。

CERT/CC建议,应安装PC厂商或系统经销商提供的新版固件。通过自动或托管更新,如果用户系统支持像是Linux厂商固件服务(Linux Vendor Firmware Service,LVFS)等功能的话。Binarly也提供了UEFI软件侦测规则FwHunt rules,以协助识别出受影响的软件。

发表评论