Уязвимости затрагивают более 200 моделей устройств HP
В среду HP выпустила обновления BIOS для устранения двух серьезных уязвимостей, которые позволяют запускать код с привилегиями ядра. Уязвимости отслеживаются как CVE-2021-3808 и CVE-2021-3809 и имеют балл 8,8 по системе CVSS 3.1. На данный момент компания не предоставила никаких технических подробностей этих уязвимостей.
"В UEFI некоторых продуктов HP были обнаружены потенциальные уязвимости, которые позволяют выполнять произвольный код. Мы выпускаем обновления прошивки для устранения этих уязвимостей", – говорится в кратком сообщении компании. Полный список всех затронутых моделей и необходимые наборы обновлений можно найти на странице поддержки пользователей. Стоит заметить, что еще не все продукты HP получили исправления.
Исследователь Николас Старке, обнаруживший обе уязвимости в ноябре 2021 года, подробнее объяснил их принцип работы в своем блоге.
"Уязвимость позволяет злоумышленнику повысить привилегии с уровня ядра до режима управления системой (SMM). Использование SMM дает злоумышленнику полный контроль над устройством для дальнейших атак", – говорит специалист.
Проблема заключается в том, что SMI-обработчик может быть запущен из среды ОС, например, через драйвер ядра Windows.
Пример уязвимого SMI-обработчика.
Злоумышленнику необходимо найти в памяти адрес функции LocateProtocol и перезаписать ее своим вредоносным кодом. После этого хакер может запустить выполнение кода, дав команду SMI-обработчику.
Важно подчеркнуть, что для использования уязвимости злоумышленнику необходимо иметь привилегии уровня root/SYSTEM в системе жертвы и выполнить код в режиме SMM. Конечной целью такой атаки является перезапись UEFI устройства с помощью образов злоумышленника. Это означает, что злоумышленник может установить крайне устойчивое вредоносное ПО, которое не получится удалить при помощи антивирусов и полной переустановки ОС. Однако некоторые модели компьютеров HP имеют средства защиты, которые злоумышленнику нужно обойти для использования эксплоита, одним из таких средств является система HP Sure Start. Исследователь объясняет, что HP Sure Start может обнаружить подобное вмешательство и выключить компьютер при обнаружении повреждения памяти. Затем, при первом запуске, пользователю будет показано предупреждение, а также запрос на одобрение загрузки системы.
Последние исправления HP появились всего через два месяца после устранения 16 опасных уязвимостей в прошивке UEFI, поэтому специалисты настоятельно рекомендуют пользователям применить последние обновления безопасности.
Ранее мы подробно писали про 16 опасных уязвимостей в прошивке UEFI. Тогда опасности подверглись миллионы корпоративных устройств HP.
Одно найти легче, чем другое. Спойлер: это не темная материя