Cerca de duas dúzias de vulnerabilidades foram identificadas no código de firmware UEFI usado pelos maiores fabricantes de dispositivos do mundo. Pesquisadores da empresa de segurança de firmware Binarly encontraram 23 vulnerabilidades de alta gravidade podem afetar milhões de dispositivos corporativos, como laptops, servidores, roteadores, dispositivos de rede, sistemas de controle industrial (ICS) e dispositivos de computação de borda. Mais de 25 fornecedores são afetados pelas falhas, incluindo HP, Lenovo, Fujitsu, Microsoft, Intel, Dell, Bull (Atos) e Siemens.
As falhas de segurança existem no firmware InsydeH2O UEFI fornecido pela Insyde Software. UEFI é sigla para Unified Extensible Firmware Interface (ou, em português, interface unificada de firmware extensível). Trata-se de uma especificação que define uma interface de software entre o sistema operacional e o firmware da plataforma. O UEFI pretende substituir a interface de firmware do sistema de entrada e saída básico (BIOS), presente em todos os computadores pessoais compatíveis com o IBM PC.
“A causa raiz do problema foi encontrada no código de referência associado ao código da estrutura do firmware InsydeH2O. Todos os fornecedores [impactados] estavam usando o SDK [kit de desenvolvimento de software] de firmware baseado em Insyde para desenvolver seus pedaços de firmware”, explicou Binarly.
As vulnerabilidades estão principalmente relacionadas ao modo de gerenciamento do sistema (SMM) e podem levar à execução arbitrária de código com privilégios elevados. Os identificadores CVE (de vulnerabilidades e exposições comuns) foram atribuídos a cada um dos 23 pontos fracos.
Veja isso
Bug no Agent da McAfee pode dar privilégio a invasor
Malware usa bug no Log4J para criptografar servidores VMware
Um invasor com acesso de usuário privilegiado ao sistema de destino pode explorar as vulnerabilidades para instalar malware altamente persistente. O invasor pode ignorar soluções de segurança de endpoint, inicialização segura e segurança baseada em virtualização.
“A exploração ativa de todas as vulnerabilidades descobertas não pode ser detectada pelos sistemas de monitoramento de integridade do firmware devido às limitações da medição do Trusted Platform Module (TPM). As soluções de atestado de integridade do dispositivo remoto não detectarão os sistemas afetados devido às limitações de design na visibilidade do tempo de execução do firmware”, disse a Binarly.
As vulnerabilidades foram inicialmente descobertas em dispositivos Fujitsu, mas uma análise mais detalhada revelou que era um problema mais amplo que afetava o firmware baseado em Insyde. A Fujitsu foi notificada em setembro e a Binarly trabalhou com o CERT/CC e o Linux Vendor Firmware Service (LVFS) para identificar e notificar outros fornecedores afetados. A Insyde corrigiu as vulnerabilidades e lançou avisos de segurança. No entanto, provavelmente levará algum tempo até que os patches cheguem aos dispositivos afetados.
