Firmware UEFI HP: Eclypsium ha recentemente scoperto nuove vulnerabilità in una particolare implementazione UEFI (Unified Extensible Firmware Interface) di HP. Queste vulnerabilità, scoperte automaticamente dal nostro sistema di analisi binaria Automata, evidenziano l’importanza di una gestione attenta della sicurezza del firmware.
Background su UEFI
UEFI è l’interfaccia tra il sistema operativo e il firmware di un computer, sostituendo il precedente BIOS. UEFI è un’architettura di riferimento, pertanto esistono molte implementazioni diverse, tra cui la prima versione open source di Intel, Tiano, che è stata successivamente superata dalle versioni EDK e EDK2. UEFI offre supporto per dischi rigidi più grandi, avvio di rete e hardware moderno, oltre a svolgere un ruolo significativo nella sicurezza, essendo richiesto per controlli di sicurezza come Secure Boot e TPM chips.
In quanto primo codice eseguito durante l’avvio del sistema, UEFI svolge un ruolo fondamentale nella sicurezza della catena di fornitura del firmware, controllando l’inizializzazione dei driver a basso livello e garantendo che solo i caricatori di avvio firmati siano consentiti durante l’avvio del sistema.
Negli ultimi anni, UEFI è diventato un bersaglio sempre più popolare per ricercatori e attori malevoli, poiché viene eseguito prima del sistema operativo e di qualsiasi strumento di sicurezza, avendo accesso a tutti i componenti del sistema. Backdoor come CosmicStrand e MosaicRegressor dimostrano che gli attaccanti stanno spostando la loro attenzione verso la persistenza a livello basso, eludendo EDR e altre difese a livello di sistema operativo.
Vulnerabilità scoperte in HP UEFI
Eclypsium ha scoperto una vulnerabilità in un particolare UEFI di HP, causata da una chiamata non sicura al servizio UEFI GetVariable. Questa vulnerabilità può portare a un overflow del buffer se un attaccante imposta un valore a un primo UEFI variable con un valore abbastanza lungo. Questa vulnerabilità è stata trovata in diversi driver DXE e il codice vulnerabile è mostrato di seguito:
- GUID binario: 7E9C835A-30EA-4EE0-9FB6-C345F0B5C307 (F10ExtendedFeature)
Due chiamate a GetVariable con lo stesso nome “SetupDefaults” e il valore DataSize controllabile nel secondo chiamata, portando all’overflow del buffer puntato da param_1.
- GUID binario: E3B416C5-3CA9-4740-BA08-E653AA112CB2 (HpEmbeddedControllerImplRtDxe)
Due chiamate aggiuntive a GetVariable con il nome “HP_Setup” e il valore DataSize controllabile nel secondo chiamata, portando a un overflow dello stack del buffer puntato da p_data_buffer.
- GUID binario: A5C6006B-8BD7-4FCA-A924-5BBF9D8BB9B9 (PeiAtaCommands)
Due chiamate a GetVariable con il nome “HP_MAC_ADDRESS” e il valore DataSize controllabile nel secondo chiamata, portando a un overflow della piscina del buffer puntato da p_data_buffer.
- GUID binario: 470B83AC-33C7-49B4-912C-AB4B94574E9B (MultiUser)
Due chiamate a GetVariable con i nomi “HP_BIOSAdminScanCode” e “HP_TempBIOSAdminScancode” e il valore DataSize controllabile nel secondo chiamata, portando a un overflow dello stack del buffer.
Mitigazione
Non esiste una soluzione per questa particolare vulnerabilità, poiché il modello di prodotto interessato (HP ProBook 11 EE G1) non è più supportato. Tuttavia, i clienti Eclypsium possono identificare questi sistemi attraverso la nostra piattaforma e contrassegnarli per un monitoraggio speciale. Ad esempio, i clienti possono impostare baselines del firmware per questi dispositivi per ricevere notifiche di qualsiasi cambiamento che possa indicare una compromissione. Gli attacchi a queste vulnerabilità probabilmente includerebbero codice dannoso nel firmware UEFI, modificando la baseline del firmware e scatenando una rilevazione.
Le vulnerabilità in prodotti end-of-life o non supportati sottolineano l’importanza di un’assicurazione di terze parti continua per la tua infrastruttura IT. Continueremo a vedere attaccanti che prendono di mira UEFI e altri componenti a basso livello della infrastruttura IT mentre cercano di eludere la rilevazione e mantenere la persistenza.
Eclypsium Automata continuerà a scoprire vulnerabilità precedentemente non segnalate come questa. La nostra piattaforma fornirà inoltre un monitoraggio continuo della tua infrastruttura IT a livelli bassi e ti aiuterà a proteggere la tua organizzazione dalle minacce alla catena di fornitura digitale.
Fonte: https://securityboulevard.com/2024/05/automata-in-action-new-vulnerabilities-discovered-in-hp-uefi/
