UEFI固件代码爆23项漏洞，影响微软、Dell、HPE等业者

育碧 • 2023年8月25日 15:50 • 投稿

安全厂商Binarly发现，统一可延伸固件界面（Unified Extensible Firmware Interface，UEFI）固件代码有多达23项高风险漏洞，影响多家使用UEFI固件的厂商，包括Dell、HPE/HP、富士通及微软等公司。

Binarly研究人员发现漏洞是存在一家主要独立BIOS开发商（IBV）所开发的UEFI固件。

研究人员一开始是为一家中型企业客户检测安全，发现20多款企业机器出现异常，而且全都指向富士通Lifebook笔记本系列的硬件配置。最后他们发现问题出在系微（Insyde）H2O固件框架的关联代码。

这固件用户众，遍及笔记本、服务器、路由器及工控系统厂商。他们已证实受影响的厂商包括富士通、Dell、HPE、HP、微软、英特尔、西门子及Bull Atos。电脑网络危机处理暨协调中心（CERT/CC）也发出了公告。

在InsydeH2O固件中，他们一共识别出23项漏洞，许多和系统管理模式（System Management Mode，SMM）有关。其中10项是SMM Callout（权限升级）、12项属于SMM内存毁损，1项为DXE内存毁损。大部分是漏洞可导致以SMM权限执行代码（CVSS风险值在7.5到8.2之间）。这些漏洞可以被串联后用以执行第2阶段攻击，以躲避安全防护，或是长期渗透于系统中（例如最近发现的MoonBounce）。开采这些漏洞攻击者将可安装即使重开机、也无法消除的恶意软件，还能逃过端点安全产品（像是端点响应或防毒）、Secure Boot及虚拟化的安全隔离技术。

安全厂商强调，由于信任平台模块（TPM）量测的限制，所有这些漏洞一旦遭到开采，将无法被固件完整性监控系统侦测到。由于固件runtime有限的透通性，远程装置健康证明（remote device health attestation）方案也无法侦测受影响的系统。

CERT/CC建议，应安装PC厂商或系统经销商提供的新版固件。透过自动或代管更新，如果用户系统支持像是Linux 厂商固件服务（Linux Vendor Firmware Service，LVFS）等功能的话。 Binarly也提供了UEFI软件侦测规则FwHunt rules，以协助识别出受影响的软件。