Schwachstellen in UEFI-Firmware betreffen Produkte von Intel und Fujitsu
Wahrscheinlich sind auch Systeme von anderen Herstellern wie Dell, Siemens, HP, HPE und Microsoft angreifbar. Die Schwachstellen erlauben das Ausführen von Schadcode – unter Umständen unsichtbar für Sicherheitsanwendungen wie Virenscanner.
Forscher von Binarly haben nach eigenen Angaben 23 schwerwiegende Sicherheitslücken entdeckt, die wahrscheinlich alle Hersteller betreffen, die Code der Independent BIOS Developers (IBV) in ihre UEFI-Firmware integriert haben. Die Fehler stecken demnach in Produkten von Fujitsu, Siemens, Dell, HP, HPE, Lenovo, Microsoft, Intel und Bull Atos. Bestätigt wurden sie von der CERT/CC bisher allerdings nur für Fujitsu, Intel und Insyde.
Einem Blogeintrag von Binarly zufolge erlauben die meisten Anfälligkeiten das Einschleusen und Ausführen von Schadcode mit den Rechten des System Management Mode. Zu beachten ist, das in diesem Modus ausgeführter Code für im Betriebssystem laufende Anwendungen wie Virenscanner nicht sichtbar ist. Im zehnstufigen Common Vulnerability Scoring System werden die Bugs mit 7,5 bis 8,2 Punkten bewertet.
“Ein lokaler Angreifer mit administrativen Rechten (in einigen Fällen ein entfernter Angreifer mit administrativen Rechten) kann bösartige Software verwenden, um eine der folgenden Aktionen durchzuführen: Invalidierung zahlreicher Hardware-Sicherheitsfunktionen (SecureBoot, Intel BootGuard), Installation dauerhafter Software, die nicht einfach gelöscht werden kann, und Schaffung von Hintertüren und Hinterkommunikationskanälen, um sensible Daten auszuspähen”, erklärte das CERT/CC.
Bud Broomhead, CEO des Sicherheitsanbieters Viakoo, weist darauf hin, dass die fraglichen Schwachstellen nur schwer zu patchen sind, da sie eine Vielzahl von Herstellern betreffen, die jeweils Patches entwickeln und an ihre Nutzer verteilen müssen. Die wiederum seien dafür verantwortlich, die Updates zeitnah zu installieren. Ohne die Patches seien Cyberkriminelle in der Lage, Malware auf OS-Ebene einzuschleusen oder Geräte unbrauchbar zu machen.
“Dieser Vorfall unterstreicht die Notwendigkeit, sicherzustellen, dass alle betroffenen Systeme durch eine automatisierte Erkennungs- und Bedrohungsbewertungslösung schnell gefunden werden können, gefolgt von einer automatisierten Methode zum Patchen oder Aktualisieren der Systemfirmware. Die Notwendigkeit, verschiedene Arten von Geräten (IT, IoT, OT, ICS) schnell zu patchen, übersteigt inzwischen die Möglichkeiten eines Unternehmens, Sicherheitsbehebungen manuell durchzuführen”, ergänzte Broomhead.