I principali produttori di pc sono nei guai: trovate almeno 23 falle nei loro prodotti, ecco i rischi in attesa di una patch

Sono ben 23 le falle scoperte dai ricercatori di Binarly, un’azienda che si occupa della protezione dei firmware. Come scrive Hwupgrade.it, sono venute a galla delle vulnerabilità critiche precisamente in InsydeH2O, un framework che viene utilizzato da molte aziende ed in particolare da colossi della tecnologia e dei computer come Siemens, Dell, HP, HPE, Lenovo, Microsoft, Intel e Bull Atos per realizzare l’UEFI dei propri dispositivi.

L’Uefi non è una federazione calcistica ma è semplicemente l’acronimo di Unified Extensible Firmware Interface, ovvero un’interfaccia fra il firmware di un determinato dispositivo e il sistema operativo dello stesso, e permette la gestione del processo di avvio, la diagnostica e le funzioni di riparazione. Come detto in apertura, gli ingegneri di Binarly hanno trovato ben 23 falle in totale nel codice di InsydeH2O, e la maggior parte di esse è stata localizzata nel System Management Mode (SMM) che si occupa di funzioni come la gestione energetica e il controllo dell’hardware.

SCOPERTE 23 FALLE NEL FRAMEWORK INSYDEH20: ECCO TUTTI I DETTAGLI

“I privilegi di SMM – scrive a riguardo Hwupgrade.it – sono superiori rispetto a quelli del kernel del sistema operativo, quindi qualsiasi problema di sicurezza che interessa SMM può avere gravi ripercussioni per il dispositivo vulnerabile”. Di conseguenza, giusto per capire cosa potrebbe accadere di dannoso, un malintenzionato, sia in locale quanto da remoto, con dei privilegi amministrativi, potrebbe sfruttare tali falle per invalidare diverse funzionalità hardware come ad esempio SecureBoot, Intel Boot Guard, ecc., ma anche installare dei malware che non potranno essere cancellati, quindi reinstallare il sistema operativo e creare anche dei backdoor, delle “porte nascoste”, attraverso cui rubare dei dati sensibili della persona hackerata a sua insaputa.

Le 23 falle scoperte sono tracciate con i seguenti codici CVE: CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE-2021-41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE-2021-43522, CVE-2021-43615, CVE-2021-45969, CVE-2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031, CVE-2022-24069. Le più critiche risultano essere quelle relative a SMM, leggasi CVE-2021-45969, CVE-2021-45970 e CVE-2021-45971, e sono accompagnate da un punteggio pari a 9.8 su 10. Inoltre, delle 23 falle scoperte, dieci potrebbero essere sfruttate per ottenere maggiori privilegi, mentre dodici corrompono la memoria in SMM, e una, infine, la memoria nel Driver eXecution Environment (DXE) di InsydeH2O. Il report di Binarly spiega a riguardo: “La causa principale del problema è stata rintracciata nel codice di riferimento associato al codice del framework per i firmware InsydeH2O. Tutti i suddetti fornitori (oltre 25) utilizzavano l’SDK basato su Insyde per sviluppare le loro parti di firmware (UEFI)”. Insyde Software ha già rilasciato aggiornamenti per sistemare i vari problemi emersi.