Tras las correcciones recientes para una gran cantidad de vulnerabilidades UEFI, HP, el proveedor mundial de PC y portátiles, lanza una nueva actualización de BIOS. En esta época, dos vulnerabilidades graves que afectan a una amplia gama de más de 200 Modelos de PC y portátiles que permiten ejecutar código con privilegios del kernel, incluyendo administración de controladores y acceso al BIOS, fueron el detonante.
Las vulnerabilidades en el BIOS de HP pueden llevar a los delincuentes a apoderarse de su PC
Los analistas definieron esas vulnerabilidades como CVE-2021-3808 y CVE-2021-3809, y dio una puntuación CVSS de referencia de 8.8. HP no proporciona detalles técnicos en este momento., publicar solo la lista de dispositivos afectados. Esos son:
- Estudio Zbook
- ZHANPro
- EliteBook
- Probook
- Libélula de élite
- EliteDesk
- Escritorios ProDesk
- Participación de punto de venta
- Estaciones de trabajo Z1 y Z2
- PC de cliente ligero [que ejecutan la misma versión de firmware en el servidor]
Los errores fueron descubiertos en noviembre. 2021 gracias al investigador Nicholas Starke, OMS explicado en su blog que la vulnerabilidad podría permitir que un atacante se ejecute con privilegios a nivel de kernel (CPL == 0) para elevar privilegios al modo de administración del sistema (SMM). Al mismo tiempo, SMM otorga al atacante todos los privilegios sobre el host para futuros ataques.
El problema es que es posible ejecutar el controlador SMI desde el entorno del sistema operativo., por ejemplo a través de un controlador del kernel de Windows. Por lo tanto, un atacante necesita encontrar la dirección de memoria de la función LocateProtocol y sobrescribirla con código malicioso. Puede iniciar la ejecución del código indicando al controlador SMI que lo haga..
¿Es esa infracción fácil de explotar??
Para explotar la vulnerabilidad, un atacante debe tener privilegios de nivel raíz/SISTEMA en el sistema de destino y ejecutar código en el modo de administración del sistema (SMM). Además, Algunos modelos de computadoras HP tienen características de seguridad que un atacante debe eludir para que el exploit funcione., como HP Sure Start, que apagará el host si la memoria está dañada. Sin embargo, hay suficientes formas de obtener tales privilegios – de otras hazañas engañar al usuario para que instale un virus troyano.
Cuando se logra el objetivo final, el atacante, sobrescribiendo el UEFI (BIOS), puede lograr una excelente persistencia de malware en la máquina. Después de tal truco, no se puede eliminar el malware utilizando herramientas antivirus o reinstalando el sistema operativo. Así que, Ese es un consejo obvio para todos los propietarios de hardware HP que no quieran formar parte de las operaciones ART que practican ataques a través de UEFI.. Actualiza la BIOS antes que los ciberdelincuentes actualízalo sin tu participación.
¿Por qué las vulnerabilidades del BIOS son tan críticas??
BIOS, así como su moderno reemplazo – UEFI, es el firmware del nivel más bajo. Se ejecuta en su hardware incluso antes de iniciar el sistema operativo normal. – Windows o Linux. Al contrario de los sistemas operativos que interactúan con el hardware mediante controladores., BIOS interactúa directamente. A principios de los años 10, Interfase Extensible de Firmware Unificadose presentó como sustituto de la BIOS, que se consideraba obsoleto hasta el momento.
Infracción que permite a los piratas informáticos llamar al hardware en la palanca del kernel, es decir,. evitando a los conductores, significa que quien explota esa infracción puede hacer literalmente cualquier cosa. Apaga la computadora, reiniciarlo, eliminar el BIOS, sustituir este último con un cargador malicioso que mostrará el banner de rescate en la pantalla – elige lo que quieras. Organización CVE, que rastrea y documenta todas las vulnerabilidades detectadas, Todavía no se ha agregado la descripción detallada de CVE-2021-3808 y CVE-2021-3809.. Pero estoy bastante seguro de que aumentarán la clasificación de gravedad a 10/10 – eso es un verdadero desastre.
