Múltiples vulnerabilidades en InsydeH2O UEFI de Insyde

Fecha de publicación: 02/02/2022

Importancia:
Crítica

Recursos afectados:

Firmware InsydeH2O Hardware-2-Operating System (H2O) UEFI debido al uso de System Management Mode (SMM).

Puede consultarse el listado de fabricantes afectados en la sección Vendor Information del aviso del CERT/CC.

Descripción:

El equipo efiXplorer de Binarly investigó y reportó 23 vulnerabilidades de gestión de memoria en System Management Mode (SMM) a Insyde Software. Un atacante local (en algunos casos un atacante remoto) con privilegios administrativos podría utilizar malware para invalidar características de seguridad hardware, instalar software persistente y crear backdoors para filtrar información sensible.

Solución:

Instalar la última versión estable del firmware proporcionada por el proveedor o distribuidor informático.

Si el sistema operativo admite actualizaciones automáticas o gestionadas por el firmware, como Linux Vendor Firmware Service (LVFS), aplicar las actualizaciones de seguridad de software relacionadas. Binarly también ha proporcionado un conjunto de reglas de detección de software UEFI llamadas FwHunt para ayudar a identificar el software vulnerable. LVFS aplica estas reglas FwHunt para detectar y apoyar la corrección de las actualizaciones de firmware que se ven afectadas por este aviso.

Detalle:

Estas vulnerabilidades pueden conducir a ataques que pueden ser invocados desde el sistema operativo usando SMI Handlers no verificados o inseguros, y en algunos casos estos bugs también pueden ser activados en las fases tempranas de arranque de UEFI (así como en la suspensión y recuperación como ACPI) antes de que el sistema operativo sea inicializado.

Se han asignado los identificadores CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE-2021-41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE-2021-43522, CVE-2021-43615, CVE-2021-45969, CVE-2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031 y CVE-2022-24069 para estas vulnerabilidades.

Encuesta valoración

Etiquetas:
Actualización, Infraestructuras críticas, IoT, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.