image

Kwetsbaarheden in UEFI-firmware meerdere computerleveranciers ontdekt

woensdag 2 februari 2022, 14:03 door Redactie, 19 reacties

Onderzoekers hebben in de UEFI-firmware van verschillende computerleveranciers kwetsbaarheden ontdekt waardoor een aanvaller die al toegang tot het systeem heeft beveiligingsmaatregelen kan omzeilen en lastig te detecteren en verwijderen rootkits en backdoors kan installeren.

De in totaal 23 kwetsbaarheden zijn aanwezig in de UEFI-firmware van Insyde, waar weer allerlei computerleveranciers van gebruikmaken. UEFI biedt een interface tussen het besturingssysteem en de firmware van het systeem. Voor het verwerken van systeembrede functies, zoals energiebeheer, maakt UEFI-software gebruik van de System Management Mode (SMM). De rechten van SMM, ook wel Ring 2 genoemd, zijn hoger dan de rechten van de kernel van het besturingssysteem (Ring 0).

Door de kwetsbaarheden kan een aanvaller willekeurige code in SMM-mode uitvoeren. Hierdoor is het mogelijk om bijvoorbeeld malware te installeren die de herinstallatie van het besturingssysteem overleeft en het mogelijk maakt om antivirussoftware, Secure Boot en virtualisatie-gebaseerde isolatie te omzeilen. Om misbruik van de kwetsbaarheden te maken moet een aanvaller wel adminrechten op het aangevallen systeem hebben.

Volgens securitybedrijf Binarly, dat de kwetsbaarheden ontdekte, zijn UEFI-implementaties van Fujitsu, Siemens, Dell, HP, HPE, Lenovo, Microsoft, Intel en Bull Atos kwetsbaar. Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit meldt dat de kwetsbaarheden zijn bevestigd in de UEFI-implementaties van Fujitsu en Bull Atos, maar dat dezelfde software ook aanwezig is in de implementaties van veel andere leveranciers. Het CERT/CC heeft echter nog niet bevestigd dat deze andere leveranciers ook daadwerkelijk kwetsbaar zijn. Gebruikers wordt aangeraden om de laatste firmware-update van hun leverancier te installeren.

Reacties (19)
02-02-2022, 14:22 door Anoniem
Waar is de tijd dat BIOS gewoon EPROM was. Niks aan aan te passen.
02-02-2022, 14:24 door Anoniem
Het lijkt erop alsof alles kwetsbaarheden bevat. Hoe meer code en hoe complexer de code wordt, des te gevaarlijker de code is.
02-02-2022, 15:46 door _R0N_
Door Anoniem: Waar is de tijd dat BIOS gewoon EPROM was. Niks aan aan te passen.

Uhh "erasable programmable read-only memory".
Dat is gewoon te programmeren met nieuwe software.
02-02-2022, 16:14 door Anoniem
Door Anoniem: Hoe meer code en hoe complexer de code wordt, des te gevaarlijker de code is.

Als je heimwee hebt naar eenvoud, veiligheid en privacy, dan kun je voor een minimalistische benadering kiezen. :-)

voorheen --> verbouwing --> nadien
------------------------------------
BIOS --> coreboot
Windows --> Arch Linux --> LFS

https://wiki.archlinux.org/title/Arch_compared_to_other_distributions
02-02-2022, 16:14 door Anoniem
Door Anoniem: Waar is de tijd dat BIOS gewoon EPROM was. Niks aan aan te passen.
O jawel hoor.
Na openen van PC:
1. EPROM uit zijn voet wippen (BIOSchip was meestal niet gesoldeerd)
2. EPROM inlezen in EPROM programmer
3. EPROM HEX-waarden omzetten naar bijbehorende processor-instructies of parameters.
4. Het geheel aan processorinstructies bestuderen, inschatten en evalueren om te kijken hoe je de boel eventueel om de tuin zou kunnen leiden
5. Instructies of parameters in EPROM programmer naar wens wijzigen en checksum weer kloppend maken
6. Nieuwe code in een plaatsvervangende lege EPROM vastleggen van vergelijkbaar type, en deze weer netjes in zijn voet drukken.

Handig bij vroege Taiwan-PC's met een (te) beperkt aantal keuzes voor de HDD-opslagcapaciteit.
Men had ze nog niet besteld of er waren alweer HDDs met grotere opslagcapaciteit. (die dus niet ondersteund werd)
Dus creatief HDD parameters in de BIOS opgezocht, hexcodes en checksum gewijzigd naar nieuwe waarden en voilá.
02-02-2022, 16:16 door Anoniem
Door _R0N_:
Door Anoniem: Waar is de tijd dat BIOS gewoon EPROM was. Niks aan aan te passen.

Uhh "erasable programmable read-only memory".
Dat is gewoon te programmeren met nieuwe software.

Duhh,

je hep zeker "gewoon" een uv-lampie erbij?
02-02-2022, 16:58 door Anoniem
Door _R0N_:
Door Anoniem: Waar is de tijd dat BIOS gewoon EPROM was. Niks aan aan te passen.

Uhh "erasable programmable read-only memory".
Dat is gewoon te programmeren met nieuwe software.
Een EPROM wordt gewist d.m.v. een venster in de EEPROM i.c.m. uv-licht en wordt buiten de computer geprogrammeerd door met een EPROM-programmer een hogere spanning op een van de pinnen te zetten. Dus wissen op een moederbord was toen niet mogelijk.
02-02-2022, 18:38 door Anoniem
Door Anoniem: Het lijkt erop alsof alles kwetsbaarheden bevat. Hoe meer code en hoe complexer de code wordt, des te gevaarlijker de code is.
Geldt ook voor applicaties.
Want hoe meer applicaties je op een systeem zet, hoe sneller die kwetsbaarheden op je systeem zullen toenemen.
02-02-2022, 19:02 door Anoniem
Door Anoniem:
Door _R0N_:
Door Anoniem: Waar is de tijd dat BIOS gewoon EPROM was. Niks aan aan te passen.

Uhh "erasable programmable read-only memory".
Dat is gewoon te programmeren met nieuwe software.

Duhh,

je hep zeker "gewoon" een uv-lampie erbij?
Waarvoor heb je een UV-lampje nodig? Je trekt een kopietje op de harde schijf, dan editten in de hex-file en dan die hex-file in een nieuwe lege EPROM van hetzelfde type inschieten.
02-02-2022, 23:44 door Anoniem
Door Anoniem: Waarvoor heb je een UV-lampje nodig?

Door de sticker van het kwartsvenster van de EPROM te peuteren, kun je met een UV-lamp het ROM geheugen wissen.

To erase the data stored in the array of transistors, ultraviolet light is directed onto the die. Photons of the UV light cause ionization within the silicon oxide, which allows the stored charge on the floating gate to dissipate. Since the whole memory array is exposed, all the memory is erased at the same time.

https://en.wikipedia.org/wiki/EPROM


De ontwikkeling van UEFI met een TPM is een grote verbetering ten opzichte van het vroegere geknoei met EPROMs.
03-02-2022, 08:59 door Bitje-scheef
UEFI is een beetje hit and miss, wellicht over 5 jaar dat de bugs eruit zijn. Hetzelfde als alles laten regelen door een Super IO chip op het moederbord. Soms een beetje te flex.
03-02-2022, 12:13 door Anoniem
EPROM is NIET aan te passen op de computer[1] zelf en dus NIET vatbaar voor malware.
EEPROM is WEL aan te passen op de computer[1] zelf en dus WEL vatbaar voor malware.

[1] Met 'de computer' wordt bedoeld de eindgebruiker zijn/haar/X computer.

ZIjn we nu weer allemaal klaar met vliegen afvangen?
03-02-2022, 12:18 door Anoniem
Door Anoniem:
Door Anoniem: Hoe meer code en hoe complexer de code wordt, des te gevaarlijker de code is.

Als je heimwee hebt naar eenvoud, veiligheid en privacy, dan kun je voor een minimalistische benadering kiezen. :-)

voorheen --> verbouwing --> nadien
------------------------------------
BIOS --> coreboot
Windows --> Arch Linux --> LFS

https://wiki.archlinux.org/title/Arch_compared_to_other_distributions

Dat is precies wat ik doe, niet met Arch maar wel een minimale installatie met ZFS(geen typo) snapshots en QEMU/KVM virtualisatie voor de, soms non persistant, nodes.

Heerlijk.
04-02-2022, 11:15 door Anoniem
Is de IPMI inmiddels wel overal op orde?
https://diode.zone/videos/watch/1fd34dfa-ad1a-4e00-8ba2-975a92ca880a - IPMI - because ACPI and UEFI weren't terrifying enough (LCA 2015)
08-02-2022, 15:59 door Anoniem
Door Anoniem: Waar is de tijd dat BIOS gewoon EPROM was. Niks aan aan te passen.

Dat bedoel ik....;-)
08-02-2022, 16:03 door Anoniem
Door Anoniem:
Door _R0N_:
Door Anoniem: Waar is de tijd dat BIOS gewoon EPROM was. Niks aan aan te passen.

Uhh "erasable programmable read-only memory".
Dat is gewoon te programmeren met nieuwe software.

Duhh,

je hep zeker "gewoon" een uv-lampie erbij?


Dat bedoel ik, EPROM wissen met UV lampje, daarna pas her-programmeerbaar met hogere spanning op bepaald pootje
08-02-2022, 16:07 door Anoniem
Door Anoniem:
Door Anoniem:
Door _R0N_:
Door Anoniem: Waar is de tijd dat BIOS gewoon EPROM was. Niks aan aan te passen.

Uhh "erasable programmable read-only memory".
Dat is gewoon te programmeren met nieuwe software.

Duhh,

je hep zeker "gewoon" een uv-lampie erbij?
Waarvoor heb je een UV-lampje nodig? Je trekt een kopietje op de harde schijf, dan editten in de hex-file en dan die hex-file in een nieuwe lege EPROM van hetzelfde type inschieten.


Dat kan idd maar, hoe precies doet een kwaadwillende dit dan op afstand op jouw pc?
Zoals gezegd, toen de BIOS nog in een (E)EPROM zat, was het niet benaderbaar voor ellendelingen op afstand
08-02-2022, 16:13 door Anoniem
Door Anoniem:
Door _R0N_:
Door Anoniem: Waar is de tijd dat BIOS gewoon EPROM was. Niks aan aan te passen.

Uhh "erasable programmable read-only memory".
Dat is gewoon te programmeren met nieuwe software.
Een EPROM wordt gewist d.m.v. een venster in de EEPROM i.c.m. uv-licht en wordt buiten de computer geprogrammeerd door met een EPROM-programmer een hogere spanning op een van de pinnen te zetten. Dus wissen op een moederbord was toen niet mogelijk.

Herstel:
1. de EPROM kan worden gewist via een venster van glas m.b.v. UV licht
(Erasable Programmable R/O Memory)

2. de EEPROM kan worden gewist door bepaalde spanning op bepaald pootje te zetten
(Electrically Erasable Programmable R/O Memory

- Beide kunnen daarna worden her-geprogrammeerd (na bepaalde spanning op bepaald poortje te zetten)
- Geen van beide fratsen kunnen door een ellendeling op afstand worden gedaan op je PC
08-02-2022, 16:19 door Anoniem
Door Anoniem: Het lijkt erop alsof alles kwetsbaarheden bevat. Hoe meer code en hoe complexer de code wordt, des te gevaarlijker de code is.

Dat lijkt niet zo, dat ís altijd al zo geweest.
Dus, het wordt inderdaad steeds gevaarlijker.
We zijn al tientallen jaren onderweg op deze lijn.
Er is geen weg meer terug.

Als je deze lijn door trekt, komen we uit op een punt waar niemand wil zijn...
We gaan recht op af in een alsmaar versnellend tempo.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.