Il UEFI firmware di Insyde contiene ben 23 vulnerabilità, molte delle quali gravi o molto gravi. Alcune di queste riescono a persistere anche dopo l'installazione di un nuovo sistema operativo e consentono l'installazione di malware e il furto di dati sensibili da remoto.
Le falle sono state rilevate da Binarly, un'azienda specializzata nell'ambito della sicurezza informatica secondo la quale almeno due dozzine di produttori sarebbero coinvolti; tra questi troviamo grandi nomi come Fujitsu, Intel, AMD, Lenovo, Dell, ASUS, HP, Siemens, Microsoft e Acer.
Il software UEFI (Unified Extensible Firmware Interface) è un'interfaccia che fa da ponte tra il firmware del dispositivo e il sistema operativo. Questo si occupa dell'avvio del sistema, della diagnostica e delle funzioni di riparazione.
- Olimpiadi Invernali 2022 in streaming gratis (Si apre in una nuova scheda)
- Il Signore degli Anelli: Gli Anelli del Potere (Si apre in una nuova scheda)
- OLED e burn-in (Si apre in una nuova scheda)
Vulnerabilità molto gravi
La maggior parte delle 23 falle scoperte risiede nel System Management Mode (SMM), i cui privilegi superano quelli dell'OS.
Questa è la lista con i codici identificativi delle falle: CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE-2021-41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE-2021-43522, CVE-2021-43615, CVE-2021-45969, CVE-2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031, CVE-2022-24069.
Di queste, tre (CVE-2021-45969, CVE-2021-45970, and CVE-2021-45971) hanno un rating di pericolosità di 9.8 su 10.
“La causa principale del problema è stata identificata nel codice di riferimento associato al firmware framework InsydeH2O,” ha spiegato Binarly.
“Tutti i produttori menzionati in precedenza e altri (più di 25 in totale) utilizzavano un firmware SDK Insyde-based per sviluppare i loro firmware (UEFI).”
Anche se Insyde ha rilasciato delle patch per risolvere il problema, sono i produttori stessi a doverle accettare e in seguito rilasciare delle patch per i prodotti corrispettivi. Potrebbe volerci un po' per portare a termine questi passaggi, e il fatto che molti dei dispositivi colpiti siano datati, quindi a fine vita, non aiuta di certo.
BleepingComputer riporta che solo Insyde, Fujitsu e Intel hanno confermato di aver rilevato le falle. Al contrario Rockwell, Supermicro e Toshiba segnalano di non aver avuto nessun problema. I rimanenti produttori stanno ancora indagando.
Fonte: BleepingComputer (Si apre in una nuova scheda)