Seguindo correções recentes para um grande número de vulnerabilidades UEFI, O fornecedor mundial de PCs e laptops HP está lançando uma nova atualização de BIOS. Desta vez, duas vulnerabilidades graves que afetam uma ampla gama de 200 Modelos de PC e laptop que permitem a execução de código com privilégios de kernel, incluindo gerenciamento de driver e acesso ao BIOS, foram o gatilho.
Vulnerabilidades no BIOS da HP podem levar criminosos a assumir o controle do seu PC
Os analistas definiram essas vulnerabilidades como CVE-2021-3808 e CVE-2021-3809, e deu uma pontuação CVSS inicial de 8.8. A HP não fornece detalhes técnicos no momento, publicando apenas a lista de dispositivos afetados. Esses são:
- Estúdio Zbook
- ZHAN Pro
- EliteBook
- ProBook
- Libélula de Elite
- EliteDesk
- Desktops ProDesk
- Envolvimento PoS
- Estações de trabalho Z1 e Z2
- PCs clientes finos [que executam a mesma versão de firmware no servidor]
Os bugs foram descobertos em novembro 2021 graças ao pesquisador Nicholas Starke, Quem explicou em seu blog que a vulnerabilidade poderia permitir que um invasor executasse com privilégios de nível de kernel (CPL == 0) para elevar privilégios para o modo de gerenciamento do sistema (SMS). Ao mesmo tempo, SMM dá ao invasor privilégios totais sobre o host para novos ataques.
O problema é que é possível executar o manipulador SMI a partir do ambiente do sistema operacional, por exemplo, através de um driver de kernel do Windows. Portanto, um invasor precisa encontrar o endereço de memória da função LocateProtocol e substituí-lo por código malicioso. Ele pode iniciar a execução do código instruindo o manipulador SMI a fazê-lo.
Essa violação é fácil de explorar?
Para explorar a vulnerabilidade, um invasor deve ter privilégios de nível root/SYSTEM no sistema de destino e executar código no modo de gerenciamento do sistema (SMS). Além disso, alguns modelos de computadores HP possuem recursos de segurança que um invasor precisa ignorar para que a exploração funcione, como HP Sure Start, que desligará o host se a memória estiver corrompida. No entanto, existem maneiras suficientes de obter esses privilégios – de outras façanhas enganar o usuário para instalar um vírus trojan.
Quando o objetivo final é alcançado, o atacante, substituindo o UEFI (BIOS), pode alcançar uma excelente persistência de malware na máquina. Depois de tal truque, você não pode remover malware usando ferramentas antivírus ou reinstalando o sistema operacional. Então, esse é um conselho óbvio para todos os proprietários de hardware HP que não desejam fazer parte das operações ART que praticam ataques através de UEFI. Atualize o BIOS antes dos cibercriminosos atualize-o sem a sua participação.
Por que as vulnerabilidades do BIOS são tão críticas?
BIOS, bem como seu substituto moderno – UEFI, é o firmware do nível mais baixo. Ele é executado no seu hardware antes mesmo de você iniciar o sistema operacional normal – Windows ou Linux. Ao contrário dos sistemas operacionais que interagem com o hardware usando drivers, BIOS interage diretamente. No início dos anos 10, Interface de firmware extensível unificadafoi apresentado como um substituto do BIOS, que era considerado obsoleto até o momento.
Violação que permite que hackers chamem o hardware na alavanca do kernel, ou seja. contornando os motoristas, significa que quem explora essa violação pode fazer literalmente qualquer coisa. Desligar o computador, reinicie-o, exclua o BIOS, substitua o último com um carregador malicioso que exibirá o banner do resgate na tela – escolha o que você quer. Organização CVE, que rastreia e documenta todas as vulnerabilidades detectadas, ainda não adicionou a descrição detalhada de CVE-2021-3808 e CVE-2021-3809. Mas tenho certeza de que eles aumentarão a classificação de gravidade para 10/10 – isso é uma verdadeira bagunça.