Tin An Ninh Mạng

HP vá lỗi ghi đè firmware trên hơn 200 mẫu máy

1489939944hacker.jpg
HP vừa phát hành bản cập nhật BIOS nhằm khắc phục hai lỗ hổng nghiêm trọng ảnh hưởng đến loạt sản phẩm PC và notebook, cho phép hacker chạy mã với đặc quyền Kernel.

{
,

}

motherboard.jpg

Đặc quyền cấp Kernel là quyền cao nhất trong Windows, cho phép kẻ tấn công thực thi bất kỳ lệnh nào ở cấp Kernel, bao gồm cả thao tác với trình điều khiển và truy cập BIOS.

Lỗ hổng CVE-2021-3808 và CVE-2021-3809, chưa được công bố thông tin chi tiết.

“Các lỗ hổng được xác định trong BIOS (UEFI Firmware) của một số sản phẩm PC của HP, cho phép thực thi mã tùy ý. HP đang phát hành các bản cập nhật firmware để giảm thiểu ảnh hưởng”, theo cảnh báo an ninh của hãng.

Danh sách các sản phẩm bị ảnh hưởng bao gồm các notebook như Zbook Studio, ZHAN Pro, EliteBook, ProBook và Elite Dragonfly, máy tính để bàn như EliteDesk và ProDesk, máy tính PoS bán lẻ như Engage, máy trạm như Z1 và Z2 và PC thin client.

Danh sách đầy đủ các kiểu máy bị ảnh hưởng và các SoftPaq tương ứng có thể xem tại đây.

Nicholas Starke, nhà nghiên cứu đã phát hiện ra lỗ hổng vào tháng 11/2021 và thông báo cho HP, giải thích chi tiết hơn trong bài đăng blog:

Lỗ hổng cho phép kẻ tấn công thực thi với đặc quyền cấp kernel (CPL == 0), leo thang đặc quyền lên Chế độ quản lý hệ thống (SMM). Việc thực thi trong SMM cung cấp cho hacker các đặc quyền đầy đủ đối với máy chủ để tiếp tục thực hiện các cuộc tấn công“.

Vấn đề có vẻ như là một trình xử lý SMI có thể được kích hoạt từ môi trường hệ điều hành, ví dụ, thông qua trình điều khiển nhân Windows.

Kẻ tấn công cần xác định địa chỉ bộ nhớ của chức năng “LocateProtocol” và ghi đè mã độc lên, tiếp đó kích hoạt thực thi mã bằng cách chỉ dẫn trình xử lý SMI thực thi.

Tuy nhiên, cần nhấn mạnh là để khai thác lỗ hổng, kẻ tấn công cần có đặc quyền cấp root/SYSTEM trên hệ thống đích và thực thi mã trong Chế độ quản lý hệ thống (SMM).

Mục tiêu cuối cùng của một cuộc tấn công như vậy là ghi đè UEFI Implementation (BIOS) của máy bằng các hình ảnh BIOS do kẻ tấn công kiểm soát. Điều này có nghĩa là kẻ tấn công có thể tạo ra phần mềm độc hại mà các công cụ chống virus không thể xóa được và thậm chí không thể cài đặt lại hệ điều hành.

Ngoài ra, cũng cần nhấn mạnh rằng một số kiểu máy tính HP có các biện pháp hạn chế khai thác như hệ thống HP Sure Start chẳng hạn.

Nhà nghiên cứu giải thích rằng HP Sure Start có thể phát hiện giả mạo kiểu này và tắt máy chủ khi có hành vi phá hỏng bộ nhớ. Sau đó, ở lần khởi động đầu tiên, một cảnh báo sẽ được hiển thị cho người dùng cùng với lời nhắc chấp thuận khởi động hệ thống.

Các bản sửa lỗi mới nhất của HP được đưa ra chỉ hai tháng sau khi nhà sản xuất máy tính khắc phục 16 lỗi firmware UEFI và ba tháng sau khi giải quyết một loạt lỗi BIOS khác.

Do đó, nếu bạn chưa cập nhật bản vá, hãy đảm bảo sao lưu dữ liệu của mình trên một hệ thống riêng biệt và thực hiện ngay bây giờ.

Nguồn: Bleeping Computer

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !