È stata identificata una vulnerabilità ad alta gravità in alcuni modelli di computer portatili Acer: se sfruttata, potrebbe consentire a un aggressore locale di disattivare la modalità Secure Boot nel firmware UEFI (Unified Extensible Firmware Interface) in versione 2.3.1.
In particolare, la falla di sicurezza (tracciata come CVE-2022-4020 e segnalata dal ricercatore Martin Smolar di ESET) è stata identificata nel driver HQSwSmiDxe DXE su alcuni notebook Acer di fascia consumer, tra cui i modelli Aspire A315-22, A115-21, A315-22G, Extensa EX215-21 e EX215-21G.
Overall, 5 devices are affected: Aspire A315-22/22G, A115-21 and Extensa EX215-21/21G. According to Acer: https://t.co/YDVBvMastj, update should be distributed as a critical Windows update. Alternatively, updated BIOS version is available for download: https://t.co/39Ys8oFNbJ 3/3
— ESET Research (@ESETresearch) November 28, 2022
Indice degli argomenti
I dettagli della vulnerabilità nel firmware UEFI
Ricordiamo che la funzione Secure Boot consente di bloccare i bootloader dei sistemi operativi non ritenuti attendibili sui computer dotati di chip Trusted Platform Module (TPM) e firmware Unified Extensible Firmware Interface (UEFI): lo scopo di questa misura di sicurezza è quello di impedire il caricamento di codice dannoso come rootkit e bootkit durante il processo di avvio del sistema.
Un eventuale aggressore locale con privilegi elevati potrebbe sfruttare la vulnerabilità in attacchi di bassa complessità che non richiedono alcuna interazione da parte dell’utente e alterare le impostazioni UEFI modificando la variabile NVRAM BootOrderSecureBootDisable per disabilitare il Secure Boot.
A questo punto, l’attore della minaccia è in grado di dirottare il processo di caricamento del sistema operativo e caricare bootloader non firmati per bypassare o disabilitare le protezioni e distribuire payload dannosi con i privilegi del sistema.
Come se non bastasse, l’aggressore potrebbe anche garantirsi la persistenza sulla macchina target anche in caso di reinstallazione del sistema operativo.
Da segnalare che la vulnerabilità nel firmware UEFI identificata nei computer portatili di Acer è molto simile a quella scoperta a luglio in alcuni modelli di laptop Lenovo.
Già disponibile l’aggiornamento del BIOS
Vista la gravità della vulnerabilità nel firmware UEFI, Acer è prontamente intervenuta per correggerla rilasciando un aggiornamento del BIOS, che può essere scaricato direttamente dal sito Web di supporto dell’azienda.
Successivamente, l’update alla versione più recente del firmware UEFI deve essere poi distribuito manualmente sui sistemi esposti.
Nel relativo bollettino di sicurezza, inoltre, la stessa Acer ha anticipato che “l’aggiornamento sarà incluso come aggiornamento critico di Windows”.
Inutile ricordare quanto sia importante aggiornare i propri sistemi il prima possibile per correggere la vulnerabilità nel firmware UEFI: questa tipologia di malware, infatti, rappresenta una delle minacce più avanzate in quanto colpisce direttamente il firmware della scheda madre per evitare il rilevamento da parte delle principali soluzioni di sicurezza. E non basta una formattazione dell’hard disk per rimuoverlo.
