I ricercatori di sicurezza informatica di Binarly hanno scoperto 16 nuovi difetti di sicurezza di gravità elevata in molteplici implementazioni del firmware UEFI (Unified Extensible Firmware Interface) che interessano diversi dispositivi aziendali HP.
Le vulnerabilità, condivise con vari dettagli sul repository ufficiale GitHub della società, hanno valutazioni CVSS comprese tra 7.5 e 8.8: se sfruttate, potrebbero consentire di diffondere codice malevolo persistente sulle macchine esposte.
I laptop e desktop HP, i sistemi POS (Point-of-sale) e i nodi di Edge computing sono tra i dispositivi potenzialmente colpiti da questa nuova ondata di bug e anche quelli che destano maggiori preoccupazioni vista la lora diffusione e l’utilizzo in diversi ambiti.
Indice degli argomenti
I dettagli delle 16 vulnerabilità UEFI
“Sfruttando le vulnerabilità divulgate, gli aggressori possono utilizzarle per eseguire l’esecuzione di codice privilegiato nel firmware, al di sotto del sistema operativo, e potenzialmente fornire codice dannoso persistente che sopravvive alle reinstallazioni del sistema operativo e consente di aggirare le soluzioni di sicurezza degli endpoint (EDR/AV) , avvio sicuro e isolamento della sicurezza basato sulla virtualizzazione”, ha dichiarato la società Binarly in un rapporto dedicato.
Erano 23 quelle che venivano descritte sempre dalla medesima società, con un altro report, non più tardi dei primi giorni del mese di febbraio appena trascorso. Ora se ne aggiungono 16 nuove e di importanza rilevante: per ciascuna, nell’apposito documento dedicato su GitHub, vengono elencati i firmware impattati dal problema. Proviamo ad analizzarne il comportamento.
Che rischi comportano le vulnerabilità UEFI
Dal 2018 sono state scoperte almeno cinque distinte varianti di malware sviluppato appositamente per infettare i firmware. Secondo uno studio pubblicato il mese scorso dai dipartimenti del Commercio e della Sicurezza Nazionale degli Stati Uniti, il livello di sicurezza del firmware è spesso trascurato dai perimetri delle analisi di rischio informatico. Eppure, questa tipologia di attacchi è in forte espansione e sta riscuotendo un discreto successo per via degli impatti particolarmente catastrofici che riuscirebbe a causare in caso di successo.
I punti più critici, nel caso di quest’ultima scoperta, sono una serie di bug di danneggiamento System Management Mode (SMM) del firmware, che consentono l’esecuzione di codice arbitrario con i privilegi più elevati, privi di autenticazione.
Le falle sono state risolte nell’ambito di una serie di aggiornamenti riguardante la sicurezza, rilasciati tra febbraio e marzo 2022, dopo una procedura di divulgazione coordinata con HP e il Centro di coordinamento CERT (CERT/CC) dell’istituto Carnegie Mellon University.
Inoltre, al netto dei dispositivi HP menzionati, è stato riscontrato che almeno una delle vulnerabilità ha anche un impatto sui dispositivi Dell e un’analisi più approfondita ha rivelato che il difetto era presente in un driver del firmware fornito da AMD.
Operazioni per la mitigazione dei danni a UEFI
Fondamentale, in questi casi, è seguire il flusso degli aggiornamenti disponibili da poter applicare ai propri dispositivi.
Abbiamo visto, infatti, come queste vulnerabilità, grazie agli scarsi controlli su questa parte del software (relativa al BIOS), possono aiutare un utente malintenzionato a installare una backdoor del firmware nel BIOS.
Tale codice firmware dannoso nel BIOS potrebbe persistere durante le reinstallazioni del sistema operativo. Inoltre, questa vulnerabilità potrebbe essere potenzialmente utilizzata dagli attori delle minacce per aggirare i meccanismi di sicurezza forniti dal firmware interno di UEFI (ad esempio, Secure Boot e alcuni tipi di isolamento della memoria per i supervisori).
Apprendendo della ricerca, HP ha sviluppato nuove patch, implementabili tramite il software centre del produttore che, con la utility di supporto clienti, fornisce sempre gli ultimi aggiornamenti disponibili.
Oltre ad applicare subito gli aggiornamenti, HP ricorda anche l’importanza di rimanere aggiornati con i propri Alert e gli eventuali bollettini di sicurezza che vengono periodicamente diffusi.
