Nuovi 16 difetti del firmware UEFI ad alta gravità scoperti in milioni di dispositivi HP
I ricercatori di sicurezza informatica martedì 08/03/2022 hanno rivelato 16 nuove vulnerabilità ad alta gravità in varie implementazioni del firmware UEFI (Unified Extensible Firmware Interface) che hanno un impatto su più dispositivi aziendali HP.
Le carenze, che hanno punteggi CVSS compresi tra 7,5 e 8,8, sono state scoperte nel firmware UEFI di HP. La varietà di dispositivi interessati include laptop, desktop, sistemi point-of-sale (PoS) e nodi di edge computing di HP.
“Sfruttando le vulnerabilità divulgate, gli aggressori possono sfruttarle per eseguire l’esecuzione di codice privilegiato nel firmware, al di sotto del sistema operativo, e potenzialmente fornire codice dannoso persistente che sopravvive alle reinstallazioni del sistema operativo e consente il bypass delle soluzioni di sicurezza degli endpoint (EDR/AV) , avvio sicuro e isolamento della sicurezza basato sulla virtualizzazione”, ha affermato la società americana di sicurezza del firmware Binarly in un rapporto condiviso con The Hacker News.
Il più grave dei difetti riguarda una serie di vulnerabilità di danneggiamento della memoria nella modalità di gestione del sistema (SMM) del firmware, consentendo così l’esecuzione di codice arbitrario con i privilegi più elevati.
A seguito di un processo di divulgazione coordinato con HP e CERT Coordination Center (CERT/CC), i problemi sono stati affrontati nell’ambito di una serie di aggiornamenti di sicurezza inviati il 2 febbraio e l’8 marzo 2022.
Fonte: https://www.italianasoftware.net/nuovi-16-difetti-del-firmware-uefi-ad-alta-gravita-scoperti-in-milioni-di-dispositivi-hp/