HP heeft 16 zeer ernstige kwetsbaarheden in zijn uefi-firmware gepatcht die bedreigers in staat zouden kunnen stellen apparaten te infecteren met malware die hoge privileges verkrijgt en niet kan worden gedetecteerd door geïnstalleerde beveiligingssoftware. De kwetsbaarheden treffen meerdere HP-apparaten, waaronder laptops, desktopcomputers, PoS-systemen en edge computing nodes.
De zwakke plekken zijn ontdekt door onderzoekers van Binarly, hetzelfde team dat in februari een andere reeks uefi-fouten publiceerde die 25 computerleveranciers trof. Een paar dagen later presenteerde de oprichter van Binarly op de OffensiveCon vijf nieuwe uefi-fouten die HP betroffen, waarop laatstgenoemde met beveiligingsupdates kwam om ze te verhelpen.
Inmiddels hebben Binarly, HP en de CERT/CC de openbaarmaking van de volledige reeks nieuw ontdekte kwetsbaarheden gecoördineerd, waaronder zich elf nieuwe kwetsbaarheden bevinden die van invloed zijn op de HPE uefi-firmware. Deze kwetsbaarheden zijn onderverdeeld in drie groepen op basis van de component/functie die wordt misbruikt:
SMM Callout (Privilege Escalation)
- CVE-2021-39298: callout leading to privilege escalation (CVSS – 7.5)
- CVE-2021-23932: callout leading to privilege escalation (CVSS – 8.2)
- CVE-2021-23933: callout leading to privilege escalation (CVSS – 8.2)
SSM (System Management Module)
- CVE-2021-23924: heap buffer overflow leading to arbitrary code execution (CVSS – 8.2)
- CVE-2021-23925: memory corruption leading to arbitrary code execution (CVSS – 8.2)
- CVE-2021-23926: memory corruption leading to arbitrary code execution (CVSS – 8.2)
- CVE-2021-23927: memory corruption leading to arbitrary code execution (CVSS – 8.2)
- CVE-2021-23928: memory corruption leading to arbitrary code execution (CVSS – 8.2)
- CVE-2021-23929: memory corruption leading to arbitrary code execution (CVSS – 8.2)
- CVE-2021-23930: heap buffer overflow leading to arbitrary code execution (CVSS – 8.2)
- CVE-2021-23931: heap buffer overflow leading to arbitrary code execution (CVSS – 8.2)
- CVE-2021-23934: memory corruption leading to arbitrary code execution(CVSS – 8.2)
DXE (Driver eXecution Environment)
- CVE-2021-39297: stack buffer overflow leading to arbitrary code execution (CVSS – 7.7)
- CVE-2021-39299: stack buffer overflow leading to arbitrary code execution (CVSS – 8.2)
- CVE-2021-39300: stack overflow leading to arbitrary code execution (CVSS – 8.2)
- CVE-2021-39301: stack overflow leading to arbitrary code execution (CVSS – 7.7)
Omdat zowel DXE als SSM worden geactiveerd voordat het besturingssysteem wordt opgestart, overschrijden gebreken die in deze componenten worden uitgebuit de voorrechten van het kernelbesturingssysteem en omzeilen zij alle beveiligingen.
Afbeelding afkomstig van Binarly
Ook kan een kwaadwillende deze mogelijk misbruiken om hardnekkige firmware-malware te implanteren die OS-updates overleeft en uefi secure Boot, Intel Boot Guard en virtualisatiebeveiligingsoplossingen omzeilt.
Op dit moment is de enige manier om het veiligheidsrisico aan te pakken het toepassen van de beschikbare firmware-updates van HP's BIOS-upgradeportaal, of door deze instructies te volgen.
Een van de zwakke plekken, CVE-2021-39298, is geïdentificeerd als een kwetsbaarheid in de AMD-referentiecode en treft als zodanig niet alleen HP maar een veelvoud aan computerfabrikanten die gebruik maken van het specifieke firmware-stuurprogramma (AgesaSmmSaveMemoryConfig).
Afbeelding afkomstig van Binarly
Deze fout is een geval van misbruik van de EFI_BOOT_SERVICES en EFI_RUNTIME_SERVICES, omdat het mogelijk maakt dat de DXE runtime zonder privileges code uitvoert binnen SMM, wat in strijd is met de gevestigde beveiligingspraktijken.
Als zodanig zal het CERT/CC samenwerken met alle betrokken leveranciers om hen te helpen ten minste voor ondersteunde producten oplossingen te vinden voor deze privilege escalatiefout.
Bron: BleepingComputer
