Vysoce závažné chyby v UEFI HP ohrožují milióny počítačů

Ale to neni zcela necekana a objevna skutecnost..ze?
A neni to jen UEFI.. co ta plejada BMCek zavyslych na anticke Jave.
O PLC nemluve. Update frmwr se nedela kvuli bezpecnosti (mimo pripad kdy je to uz takova ostuda, ze prijdu o zakazniky, ale i tehdy je to fraska. Viz Intel), ale abych pridaval dalsi a skvelejsi vlastnosti.. (rozumej, dalsi a dalsi problemy a rizika).

Ale pojdme jinam.. TV je take hezka hnusarna. Co ta nekonecna plejada cinsky wifi zarovek, zasuvek. Postavena na 'ukazkovych' kodech (jinymi slovy ukradenymi), bez jakehokoliv zajisteni a s bootstrapem, ktery spusti cokoliv?
Vsak si staci vzpomenout na AVAST ktery 'v zajmu klienta' skenoval (a tusim, ze dosud skenuje, jen se ta jmenuje jinak) vsechno co mate doma a i to jak to a kdy pouzivate.

Kdo si domu pusti stovky ruznych firem aby se mu courali do loznice, na WC, smirovali deti? Ale s elektronikou? No problem. Je to luxus.. klient si to sam jeste zaplati :D. A bezny smrtelnik je nemocny po novem Androidu, OLED TV, smart home.. a nechape vubec co dela. Nikdy se nezamysli, odkud Google vyhledavac vlastne ty informace ma. Ze se temer vzdy trefi, ze nehledam pizzerku v Kamerunu ale Melniku. Ze kdyz hledam SQID tak ne k obedu.. atd.

jak dlouho to muze trvat? Kdy prijde hype: mas Wifi, Smart Home? ses prasivec..
a zas bude brekotu na trhu.

Pamatuji si, ze jsem jednou po delsim vypadku napajeni zapnul jen router a dival se do logu.. ca 40 adres bylo ruzne komunikujicich. Cely byt jinak bez elektriny.. chodil jsem a slidil vsude co to muze byt.. Zapomel jsem na mesh pripojeny k routeru.. Uz tam neni.

Není nad starý dobrý 8086 ... :) chápu, virtualizace a tak různě. Asi trochu rýpnu ale existovaly by tyto chyba kdyby nebylo UEFI?

9. 3. 2022, 14:14 editováno autorem komentáře

Existovala by chyba Dirty Pipe nebo starší sestra Dirty Cow, když by neexistovalo Linuxové jádro ?

Sorry, ale tohle je trošku demagogie.

Jeden z důvodů zavedení UEFI byl Secure boot neco co mělo "zvýšit" bezpečnost, místo toho se tím zařídilo další místo k uložení škodlivého kódu.

S tím si dovolím nesouhlasit. Nebyl to ani zdaleka jediný důvod a doporučuji kouknout do specifikace co všechno to umí a co všechno vznikem (U)EFI bylo sjednoceno a zadefinováno. Trend bobtnání byl mimochodem pozorovatelný i u klasických BIOSů ještě před nástupem (U)EFI.

Řekl bych, že bobtnání BIOSů se nedalo s tímhle UEFI chlívkem ani vzdáleně srovnávat.

To s virtualizací nesouvisí, virtualizovat můžete i s read-only BIOSem v SPI ROM, nebo dokonce na platformách které nemají ani jedno. Mám tu RK3399 (arm šestijádro) desku, ta po zapnutí zdroje přečte a spustí u-boot z SPI flashe (read-only pokud nepřepnu jumper) a ten u-boot přečte, autentifikuje a spustí kernel z disku. Nenapadá mě cesta jak by to mohl útočník prolomit, do toho čipu fyzicky nejde zapisovat data pokud mu ten pin nespojím se zemí. Běží mi na to několik mikro VM služeb (firecracker vm).

Na PCčkách chtěli snadno rozšiřitelný firmware se spoustou funkcí, mají ho... i s riziky, které s komplexním softwarem jsou.

Představa že vás WE přes jumper spasí před vším nebezpečím je hodně naivní. I ten u-boot pravděpodobně obsahuje doposud neodhalené chyby, které například mohou značně degradovat bezpečnostní vlastnosti té autnetizace nebo ji i obejít a v takových situacích je Vám i WE jumper prd platný. WE jumper Vás uchrání před zápisem škodlivého kódu, ale to je jen zlomek útoků, které se na low-level systémy jako je BIOS dělají a ani zdaleka ne všechny vyžadují perzistenci.

Však článek je právě o persistentním útoku, proto o tom píšu. Ano, u-boot je jak řešeto, ale útočit na něj lze až po kompromitaci userspace a v takovém případě zůstane u-boot bez změny. Smažu/vyměním disk, obnovím ze zálohy, a mám jistotu že mám opět důvěryhodný systém, což se nedá říct o moderních UEFI monstrech s uživatelsky přepisovatelným firmwarem.

Ale zase to má bezva diagnostiku, kde může člověk šoupat myší. A to se vyplatí.

Dalším stádiem by mohlo být rozhraní v Elektronu.

Nebo rovnou BaaS (BIOS as a Service)... Free Tier s reklamou a omezením na 1 boot/den, Standard Tier za $0.99/měsíc.

To radši ani nepiš, ne každému musí být jasné, že to je ironie a ne návod :-).

Zatím pro mne bylo to šoupání myší vždy spíše utrpením, protože to rozhraní je dělané na pohyb pomocí klávesnice.

... nebo moznost zobrazit zadost o vykupne ve slusivem ikdyz neresponzivnim UI ...

Určitě třeba v HP UEFI u ProBooku je hodně věcí, co člověk vůbec nepotřebuje. Na druhou stranu to UEFI zle aktualizovat přímo z UEFI a součástí těch aktualizací jsou i aktualizace firmware. Pokud máte na ntb Linux, třeba jako já, je tohle jediná funkční možnost jak tyto aktualizace provádět...

Týká se mě to, když mám sice UEFI, ale používám Legacy BIOS?

Těžko říct jestli konkrétně tato zranitelnost, ale obecně ano, týká.

Po koordinovaném procesu zveřejnění s HP a koordinačním centrem CERT (CERT/CC) byly problémy vyřešeny v rámci série aktualizací zabezpečení dodaných 2. února a 8. března 2022.

Vážně? Pro X těch HP kancelářských krámů, co tu mám, žádný nový firmware nikde nevidím. Nojo, ono to vlastně má už rok po roční záruce, žejo... tak proč se starat.

Dřív jsem na to používal HP Support Assistant, v posledním půl roce mi to chodí přes volitelné aktualizace WSUSem. I na tři roky staré stolní počítače HP.

NA WSUSu ovladače nemáme, to je opravdu čirý masochismus to spravovat. Přes GPO jsou povolené aktualizace ovladačů z Microsoft Update, tváří se to jako volitelné aktualizace a je potřeba nainstaloval ručně. Je tam jakýsi firmware pro jeden z X modelů. Číslováním verze to naprosto neodpovídá verzím BIOSu od HP a určitě nebudu zkoušet, co to udělá, popis k té aktualizaci je naprosto nulový.

12. 3. 2022, 07:09 editováno autorem komentáře