Im BIOS von Dell wurden fünf neue Sicherheitslücken entdeckt, die bei erfolgreicher Ausnutzung zur Ausführung von Code auf anfälligen Systemen führen können. Damit gesellen sich zu den kürzlich aufgedeckten Firmware-Schwachstellen in InsydeH2O von Insyde Software und HP Unified Extensible Firmware Interface (UEFI) weitere hinzu.
Die Schwachstellen mit den Bezeichnungen CVE-2022-24415, CVE-2022-24416, CVE-2022-24419, CVE-2022-24420 und CVE-2022-24421 werden im CVSS-Scoring-System mit 8,2 von 10 Punkten bewertet.
„Die aktive Ausnutzung aller entdeckten Schwachstellen kann von Firmware-Integritätsüberwachungssystemen aufgrund von Einschränkungen der Trusted Platform Module (TPM)-Messung nicht erkannt werden“, so das Firmware-Sicherheitsunternehmen Binarly, das die drei letztgenannten Schwachstellen entdeckt hat, in einer Mitteilung.
„Die Lösungen zur Überprüfung des Gerätezustands aus der Ferne können die betroffenen Systeme nicht erkennen, da die Firmware-Laufzeit nur eingeschränkt sichtbar ist.
Alle Schwachstellen beziehen sich auf eine unsachgemäße Eingabevalidierung, die den System Management Mode (SMM) der Firmware betrifft und es einem lokalen, authentifizierten Angreifer ermöglicht, den System Management Interrupt (SMI) zu nutzen, um beliebigen Code auszuführen.
Der System Management Mode (SMM) ist ein spezieller CPU-Modus in x86-Mikrocontrollern, der für systemweite Funktionen wie die Energieverwaltung, die Steuerung der Systemhardware, die thermische Überwachung und andere proprietäre, vom Hersteller entwickelte Codes zuständig ist.
Jedes Mal, wenn einer dieser Vorgänge angefordert wird, wird zur Laufzeit ein nicht maskierbarer Interrupt (SMI) ausgelöst, der den vom BIOS installierten SMM-Code ausführt. Da der SMM-Code auf der höchsten Privilegstufe ausgeführt wird und für das zugrunde liegende Betriebssystem unsichtbar ist, eignet sich diese Methode hervorragend für den Missbrauch, um persistente Firmware-Implantate einzusetzen.
Eine Reihe von Dell-Produkten, darunter die Alienware-, Inspiron- und Vostro-Reihe sowie die Edge Gateway 3000-Serie, sind betroffen. Der PC-Hersteller mit Hauptsitz in Texas empfiehlt seinen Kunden, ihr BIOS so schnell wie möglich zu aktualisieren.
Die fortlaufende Entdeckung dieser Schwachstellen zeigt, was wir als „wiederholbare Fehler“ im Zusammenhang mit mangelnder Eingabesanierung oder allgemein unsicheren Programmierpraktiken bezeichnen“, so die Binarly-Forscher.
„Diese Fehler sind eine direkte Folge der Komplexität der Codebasis oder der Unterstützung von Legacy-Komponenten, denen weniger Aufmerksamkeit geschenkt wird, die aber immer noch weit verbreitet sind. In vielen Fällen kann dieselbe Schwachstelle über mehrere Iterationen hinweg behoben werden, und dennoch lässt die Komplexität der Angriffsfläche Lücken für böswillige Ausnutzung offen.“