Hlavní navigace

Dvě desítky zrani­telností v UEFI postihují nejméně 25 výrobců PC

4. 2. 2022
Doba čtení: 3 minuty

Sdílet

 Autor: Depositphotos
Výzkumníci ze společnosti Binarly zabývající se bezpečností firmwarů objevili kritické zranitelnosti v UEFI firmwarech od Insyde Software, které dopadají na desítky výrobců počítačů i komponent.

Jmenovitě jde minimálně o společnosti Fujitsu, Intel, AMD, Lenovo, Dell, Asus, HP, Siemens, Microsoft a Acer, což znamená jediné: jde o hotové PC sestavy od velkých výrobců, stejně jako generické UEFI firmwary od AMD a Intelu a také samotný Microsoft, dodavatele nejrozšířenějšího desktopového OS.

Rozsah problému je tedy velký a stejně tak i závažnost, pročež můžeme v nadcházejících dnech – týdnech – měsících čekat spousty nových firmwarů a BIOSů/UEFI pro všemožné počítače a základní desky.

Krátce z historie

Připomeňme, že historie UEFI sahá hluboko do let „klasického BIOSu“, kdy Intel s vývojem platformy Itanium řešil omezenost možností BIOSu pro velké servery. Vznikl systém Intel Boot Initiative (1998), později přejmenovaný na EFI a ještě později předaný pod křídla UEFI fóra, to již s názvem UEFI. Kolem let 2006 až 2007 přibyla do UEFI podpora kryptografie a zabezpečení a také síťové autentizace či uživatelského rozhraní, jak jej známe dnes. V roce 2018 Microsoft přišel v rámci svých produktů Hyper-V a Surface s konceptem firmware as a service. Poslední verze specifikace UEFI je 2.9 z loňského března.

Výhody UEFI jsou jasné, s ním je možné bootovat z velkých diskových oddílů (nad 2 TB) za pomoci GUID Partition Table, jde o flexibilní prostředí dostupné uživateli před samotným startem OS, které nabízí síťové rozhraní, grafické rozhraní a vícejazyčnou podporu (např. BIOSy se typicky aktualizovaly z DOSu pomocí obrazu na disketě, u UEFI to lze zařídit přímo z něj). UEFI je plně 32bitové či 64bitové, má modulární design, programuje se v C a disponuje i zpětnou a dopřednou kompatibilitou. Někde se mohou hodit i doprovodné vlastnosti jako Secure Boot.

To vše ale znamená jediní: komplexnost. Ta je v případě UEFI (Unified Extensible Firmware Interface) je zkrátka velká a minimálně tchaj-wanská společnost Insyde Software dodávající vlastní generické UEFI systémy InsydeH2O výše uvedeným, má tedy co řešit.

Co Binarly zjistili

Ve firmě Binarly našli celkem 23 různých chyb v subsystému UEFI zvaném System Management Mode (SMM), speciálním exekučním módu s vysokými privilegii, přes který se řeší věci jako správa napájení či řízení hardwaru jako takové.

SMM má vyšší privilegia než samotný operační systém (resp. jeho jádro), takže jakákoli bezpečností chyba v něm může mít závažné dopady. Útočník (lokální či vzdálený) může například vypínat další, výše sedící systémy zabezpečení jako SecureBoot či Intel BootGuard, instalovat persistentní software, který nelze snadno vymazat či vytvářet různá zadní vrátka a komunikační kanály ven, přes které pak budou zcizována data.

Nahlášené chyby jsou tyto: CVE-2020–27339, CVE-2020–5953, CVE-2021–33625, CVE-2021–33626, CVE-2021–33627, CVE-2021–41837, CVE-2021–41838, CVE-2021–41839, CVE-2021–41840, CVE-2021–41841, CVE-2021–42059, CVE-2021–42060, CVE-2021–42113, CVE-2021–42554, CVE-2021–43323, CVE-2021–43522, CVE-2021–43615, CVE-2021–45969, CVE-2021–45970, CVE-2021–45971, CVE-2022–24030, CVE-2022–24031, CVE-2022–24069.

Z nich pak CVE-2021–45969, CVE-2021–45970 a CVE-2021–45971 jsou hodnoceny jako kritické zranitelnosti se skóre 9,8 z 10.

Jádrem problému je pak obecně ona referenční implementace SMM v kódu firmwarového frameworku InsydeH2O. Výše uvedení dodavatelé systémů používají tuto implementaci v rámci svých firmwarů založených na SDK InsydeH2O od Insyde.

CS24 tip temata

Řešení problémů

Insyde Software již vydala aktualizace firmwarů, které záplatují všechny uvedení chyby a vydala příslušné bezpečnostní bulletiny. Tyto aktualizace nyní musí nasadit všichni postižení zákazníci Insyde, od velkých OEM až po konkrétní modely konkrétních výrobců. Obecně se předpokládá, že ne všechna zařízení budou mít záplatována všechny uvedené chyby, mimo jiné proto, že se chyby týkají i zařízení, které už výrobce nepodporuje (došly do fáze end of life), jiné mohou zastarat dříve, než bude konkrétní oprava připravena k distribuci.

Jinak v tuto chvíli pouze samotný Insyde a dále Fujitsu a Intel potvrdili, že se jich uvedené chyby týkají. Naopak Rockwell, Supermicro a Toshiba uvádí, že nejsou chybami postiženi. Ostatní provádí šetření. Jak uvádí Bleeping Computer, chcete-li otestovat vlastní systém na přítomnost chyb, Binarly vydala vše potřebné pro otestování na GitHubu.

Autor článku

Příznivec open-source rád píšící i o ne-IT tématech. Odpůrce softwarových patentů a omezování občanských svobod ve prospěch korporací.