Intel, Lenovo ve daha fazlası büyük BIOS güvenlik açıklarından etkilendi

Son güncelleme: 3 Şubat 2022 21:32

Yazılım şirketi Insyde’den UEFI bellenimi, çoğu kritik olan ve kötü niyetli aktörlerin hedef cihazda kalmasına izin verecek 23 kusur taşıyor. kötü amaçlı yazılım, hassas verileri çalın, tüm bunlara erişirken uç nokta uzaktan, uzmanlar uyardı.

Kusurlar, Fujitsu, Intel, AMD, Lenovo, Dell, ASUS, HP, Siemens, Microsoft ve Acer gibi üst düzey OEM’ler de dahil olmak üzere iki düzineden fazla donanım üreticisinin etkilendiğini iddia eden üretici yazılımı koruma şirketi Binarly tarafından keşfedildi.

UEFI (Birleşik Genişletilebilir Ürün Yazılımı Arabirimi), cihazın üretici yazılımı ile işletim sistemi arasında köprü görevi gören bir yazılım arabirimidir. Önyüklemeyi, sistem tanılamayı ve bazı sistem onarım özelliklerini yönetir.

Yüksek önemdeki kusurlar

Keşfedilen 23 kusurun çoğunluğu, ayrıcalıkları işletim sistemininkileri aşan Sistem Yönetim Modunda (SMM) bulunur.

23 kusur şu şekilde izlenir: CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE -2021-41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE-2021 -43522, CVE-2021-43615, CVE-2021-45969, CVE-2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031, CVE-2022-24069.

Bunlardan üçü (CVE-2021-45969, CVE-2021-45970 ve CVE-2021-45971) 10 üzerinden 9,8 önem derecesi almıştır.

Binarly, “Sorunun temel nedeni, InsydeH2O ürün yazılımı çerçeve koduyla ilişkili referans kodunda bulundu,” diye açıkladı.

“Yukarıda bahsedilen tüm satıcılar (25’in üzerinde), (UEFI) donanım yazılımı parçalarını geliştirmek için Insyde tabanlı donanım yazılımı SDK’sını kullanıyordu.”

Insyde, sorunu çözmeye yardımcı olmak için ürün yazılımı yamaları yayınlamış olsa da, bunların artık OEM’ler tarafından kabul edilmesi ve etkilenen ürünlerde yayınlanması gerekiyor ve bu biraz zaman alabilir. Sorunu çok daha karmaşık hale getiren şey, etkilenen bazı cihazların kullanım ömürlerinin sonunu doldurmuş olması ve artık desteklenmemesidir.

Diğerleri, OEM’ler bir düzeltme yapmadan önce bu eşiği geçebilir.

BleeBilgisayar Yalnızca Insyde, Fujitsu ve Intel’in kusurlardan etkilendiğini doğruladığını belirtiyor. Rockwell, Supermicro ve Toshiba etkilenmediğini onayladı. Kalan OEM’ler hala konuyu araştırıyor.