L'ANALISI TECNICA

Vulnerabilità nei firmware UEFI mettono a rischio milioni di dispositivi: tutti i dettagli

Sono state documentate 23 vulnerabilità sul firmware UEFI adottato da numerosi e ampiamente diffusi produttori di dispositivi hardware in tutto il mondo: se sfruttate, potrebbero consentire di installare malware persistenti e aggirare le soluzioni di sicurezza degli endpoint. Ecco che c’è da sapere

02 Feb 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Sono state rilevate ben 23 nuove vulnerabilità di rischio medio alto (punteggio CVSS da 7.5 a 8.2) in diverse implementazioni del firmware UEFI (Unified Extensible Firmware Interface) sviluppato da InsydeH2O e utilizzato da numerosi produttori hardware tra cui HP, Lenovo, Fujitsu, Microsoft, Intel, Dell, e Siemens.

Nella maggior parte dei casi, lo sfruttamento attivo di queste vulnerabilità potrebbe portare a un’esecuzione di codice arbitrario con privilegi elevati e consentire agli aggressori di installare con successo malware persistente alle reinstallazioni del sistema operativo, di aggirare le soluzioni di sicurezza degli endpoint (EDR/AV), la modalità di avvio sicuro e l’isolamento della sicurezza basata sulla virtualizzazione.

MoonBounce, il malware si nasconde nel firmware UEFI: i dettagli

I dettagli delle vulnerabilità nel firmware UEFI

Secondo i ricercatori di Binarly, le vulnerabilità potrebbero quindi avere un impatto su larga scala e interessare milioni di dispositivi in tutto il mondo.

dal 14 al 17 giugno 2022
FORUM PA 2022: Le sfide globali della cybersecurity e della sovranità digitale
Sicurezza
Privacy

“La causa principale del problema è stata trovata nel codice di riferimento associato al framework del firmware InsydeH2O. Tutti i suddetti fornitori utilizzavano l’SDK del firmware basato su Insyde per sviluppare i loro firmware personalizzati”, hanno riferito i ricercatori nel loro rapporto.

La ricerca è partita mentre si indagava su una serie di dispositivi riportanti hardware Fujitsu (quello della serie di laptop LifeBook), ma un’analisi più approfondita ha confermato che le stesse vulnerabilità sono presenti in una più vasta gamma di fornitori in tutto il mondo. In definitiva, tutti quei dispositivi i cui fornitori adoperano il firmware InsydeH2O.

Grazie all’attività di divulgazione intrapresa da Binarly, interessando gli organi competenti di Fujitsu si è arrivati ad una identificazione molto rapida che ha portato subito al censimento delle 23 CVE, una per ogni anomalia riscontrata e con la maggior parte di esse diagnosticate nel System Management Mode (SMM):

CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE-2021-41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE-2021-43522, CVE-2021-43615, CVE-2021-45969, CVE-2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031, CVE-2022-24069

Immagine che contiene tavoloDescrizione generata automaticamente

Le vulnerabilità identificate nei firmware UEFI (Fonte: Binarly).

Cos’è il firmware UEFI

La soluzione firmware UEFI InsydeH2O “Hardware-2-Operating System” è un’implementazione completa, testata in laboratorio e sul campo delle specifiche UEFI e rappresenta la tecnologia BIOS odierna più utilizzata su sistemi server, desktop, mobili, embedded e IoT.

L’UEFI, lo ricordiamo, è una specifica software che fornisce un’interfaccia di programmazione standard che collega il firmware di un computer al suo sistema operativo durante il processo di avvio. Nei sistemi x86, il firmware UEFI è solitamente memorizzato nel chip di memoria flash della scheda madre.

Di conseguenza, un eventuale sfruttamento delle 23 vulnerabilità potrebbe consentire a un attore malintenzionato di eseguire codice arbitrario con i permessi della modalità di esecuzione SMM che, nei processori basati su x86, gestisce la gestione dell’alimentazione, la configurazione hardware, il monitoraggio termico e altre funzioni, con conseguenze facilmente immaginabili.

Attacco ai firmware UEFI: alcune considerazioni

La pronta risposta al problema da parte di Fujitsu ha permesso uno sviluppo rapido di tutta l’analisi e la generazione di patch, con relativi avvisi di sicurezza, da parte di Insyde.

Tuttavia, la scoperta è importante in quanto, come spesso accade, passerà del tempo prima che le patch raggiungano effettivamente tutti i dispositivi colpiti da queste vulnerabilità.

Per ulteriore dettaglio e trasparenza nel rilevamento di queste falle, vista la delicata importanza, Binarly ha creato un sistema di scansione del proprio sistema tramite FwHunt, con delle regole messe a disposizione pubblicamente su GitHub, utilizzabili quindi da chiunque abbia il dubbio sull’hardware utilizzato nei propri dispositivi.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3