UEFI-firmware har flere sårbarheder

Artiklen blev oprindeligt publiceret den 7/1/2015

Sikkerhedsforskere har fundet sårbarheder i firmware til UEFI (Unified Extensible Firmware Interface) fra flere leverandører. Producenterne er i gang med at lukke hullerne.

UEFI er efterfølgeren til BIOS (Basic Input Output System). Det er som regel den første programkode, der afvikles, når en computer tændes – før styresystemet bliver indlæst.

En af sårbarhederne lader en angriber omgå Secure Boot. Det er en metode til at sikre, at computeren kun indlæser software, som er signeret og godkendt.

Ved at udnytte sårbarheden kan angriberen installere ny firmware og læse og skrive data i SMRAM-regionen. Sårbarheden findes i udstyr fra AMI, Intel og Phoenix. Det er uvist, om Dell er ramt.

En anden sårbarhed ligger i en referenceimplementering af UEFI ved navn EDK1. Kildekode herfra kan indgå i firmware fra en række leverandører.

Sårbarheden er et bufferoverløb. Hvis det kan aktiveres tidligt i boot-processen, giver det en angriber mulighed for at installere ny firmware, omgå Secure Boot eller få adgang til SMM-området.

Angribere skal have fysisk adgang til den sårbare computer for at udnytte sårbarhederne.

Anbefaling
Tjek om jeres producent er ramt og har opdateret sin firmware.

Links

• Researchers Find Several UEFI Vulnerabilities, artikel fra SecurityWeek
• CERT Warns of UEFI Hardware Vulnerabilities, artikel fra Threatpost
• Some UEFI systems do not properly secure the EFI S3 Resume Boot Path boot script, advarsel fra CERT
• UEFI EDK1 vulnerable to buffer overflow, advarsel fra CERT