安全公司Binarly发现了超过20个漏洞躲在BIOS / UEFI软件从一个广泛的系统供应商,包括英特尔、微软、联想、戴尔、富士通、惠普、HPE,西门子,牛阿托斯。
Binarly发现使用InsydeH20相关的问题是,一个框架代码用于构建主板统一的可扩展固件接口(UEFI),计算机的操作系统之间的接口和固件。
上述所有的供应商为主板发展Insyde固件使用SDK。预计类似的漏洞存在于其他内部和第三方BIOS-vendor产品。
这些漏洞尤其危险,因为基于bios UEFI /攻击可以绕过firmware-based安全机制。多发性骨髓瘤这些漏洞包括全面的或特权升级,多发性骨髓瘤内存损坏,DXE内存损坏。
这些漏洞所造成的潜在危害是严重的,因为他们可以被攻击者绕过使用基于硬件的安全特性,比如安全的引导,virtualization-based安全(于),和可信平台模块(TPM)。漏洞是在UEFI但允许恶意软件系统可以在硬盘上安装擦和操作系统重新安装。
最初,Binarly 23日披露新的漏洞然后发现五个更具体的惠普硬件。桌面和服务器硬件漏洞影响,根据Binarly,报道企业供应商和Insyde。修复正在进行中。
Binarly说,已经与CERT / CC和Insyde团队紧密合作在过去的几个月里确认漏洞,提供额外的技术细节,评估相关风险,并通过负责任的信息披露工作的过程。
Insyde修补所有的漏洞,但固件发布中往往是缓慢的,因为固件是不经常更新软件。Binarly指出,文斯CERT / CC团队开发的平台漏洞信息披露已经测试了在实际环境中显著减少时间从最初披露安全修复到5个月。通常的单一厂商披露过程时间超过六个月,长留下严重的漏洞发动。
Binarly也与Linux供应商固件服务(LVFS)检测发现其他供应商和规模进一步确定影响硬件模型利用其固件漏洞检测工具,叫做FwHunt。检查你的电脑是否感染了这些漏洞,下载FwHunt从GitHub。