Вслед за недавними исправлениями целых наборов уязвимостей в UEFI производитель компьютеров HP выпускает новое обновление BIOS.
На этот раз поводом послужили две серьезные уязвимости, затрагивающие широкий спектр в более чем 200 моделях ПК и ноутбуков, которые позволяют запускать код с привилегиями ядра, включая управление драйверами и доступ к BIOS.
Уязвимости отслеживаются как CVE-2021-3808 и CVE-2021-3809, и имеют базовую оценку CVSS 8,8. На данный момент HP не раскрывает технических подробностей, заявляя лишь, что в число уязвимых продуктов входят бизнес-ноутбуки Zbook Studio, ZHAN Pro, EliteBook, ProBook и Elite Dragonfly, настольные ПК EliteDesk и ProDesk, компьютеры PoS Engage, рабочие станции Z1 и Z2 и тонкие клиентские ПК.
Баги были обнаружены еще ноябре 2021 года благодаря исследователю Николасу Старке, который пояснил в своем блоге, что уязвимость может позволить злоумышленнику, работающему с привилегиями уровня ядра (CPL == 0), повысить привилегии до режима управления системой (SMM). При этом SMM дает злоумышленнику полные привилегии над хостом для дальнейших атак.
Проблема заключается в том, что обработчик SMI может запускаться из среды ОС, например, через драйвер ядра Windows. Поэтому злоумышленнику необходимо найти адрес памяти функции LocateProtocol и перезаписать его вредоносным кодом. Он может инициировать выполнение кода, дав на это команду обработчику SMI.
Для использования уязвимости злоумышленнику необходимо иметь привилегии уровня root/SYSTEM в целевой системе и выполнять код в режиме управления системой (SMM). Кроме того, yекоторые модели компьютеров HP имеют средства защиты, которые злоумышленнику необходимо для обойти, чтобы эксплойт сработал, например, система HP Sure Start, которая отключит хост при повреждении памяти.
При достижении конечной цели злоумышленник, перезаписав UEFI (BIOS), может добиться устойчивого закрепления вредоносного ПО на машине, которое невозможно будет впоследствии удалить с помощью антивирусных средств или переустановки ОС.
Так что, всем владельцам железа НР, не желающим стать частью операций АРТ, практикующих атаки посредством UEFI, рекомендуем обновить BIOS, пока его не обновили без вашего участия.
На этот раз поводом послужили две серьезные уязвимости, затрагивающие широкий спектр в более чем 200 моделях ПК и ноутбуков, которые позволяют запускать код с привилегиями ядра, включая управление драйверами и доступ к BIOS.
Уязвимости отслеживаются как CVE-2021-3808 и CVE-2021-3809, и имеют базовую оценку CVSS 8,8. На данный момент HP не раскрывает технических подробностей, заявляя лишь, что в число уязвимых продуктов входят бизнес-ноутбуки Zbook Studio, ZHAN Pro, EliteBook, ProBook и Elite Dragonfly, настольные ПК EliteDesk и ProDesk, компьютеры PoS Engage, рабочие станции Z1 и Z2 и тонкие клиентские ПК.
Баги были обнаружены еще ноябре 2021 года благодаря исследователю Николасу Старке, который пояснил в своем блоге, что уязвимость может позволить злоумышленнику, работающему с привилегиями уровня ядра (CPL == 0), повысить привилегии до режима управления системой (SMM). При этом SMM дает злоумышленнику полные привилегии над хостом для дальнейших атак.
Проблема заключается в том, что обработчик SMI может запускаться из среды ОС, например, через драйвер ядра Windows. Поэтому злоумышленнику необходимо найти адрес памяти функции LocateProtocol и перезаписать его вредоносным кодом. Он может инициировать выполнение кода, дав на это команду обработчику SMI.
Для использования уязвимости злоумышленнику необходимо иметь привилегии уровня root/SYSTEM в целевой системе и выполнять код в режиме управления системой (SMM). Кроме того, yекоторые модели компьютеров HP имеют средства защиты, которые злоумышленнику необходимо для обойти, чтобы эксплойт сработал, например, система HP Sure Start, которая отключит хост при повреждении памяти.
При достижении конечной цели злоумышленник, перезаписав UEFI (BIOS), может добиться устойчивого закрепления вредоносного ПО на машине, которое невозможно будет впоследствии удалить с помощью антивирусных средств или переустановки ОС.
Так что, всем владельцам железа НР, не желающим стать частью операций АРТ, практикующих атаки посредством UEFI, рекомендуем обновить BIOS, пока его не обновили без вашего участия.