惠普已经披露了 16 个影响巨大的 UEFI 固件漏洞，这些漏洞可能使威胁行为者能够使用获得高权限且安装的安全软件无法检测到的恶意软件感染设备。

这些漏洞影响多种惠普机型，包括笔记本电脑、台式电脑、PoS 系统和边缘计算节点。

这些漏洞是由 Binarly 的研究人员发现的，该团队在 2 月份发布了另一组影响 25 家计算机供应商的 UEFI 漏洞。

几天后，Binarly 的创始人在 OffensiveCon 上展示了影响惠普的五个新的 UEFI 漏洞，惠普发布了相应的安全更新来解决这些问题。

今天，Binarly、HP 和 CERT/CC 协调披露了新发现的完整漏洞集，包括 11 个影响 HPE UEFI 固件的新漏洞。

这些漏洞根据被利用的组件/功能分为三个桶：

SMM 标注（权限提升）

• CVE-2021-39298：导致权限提升的标注 (CVSS – 7.5)
• CVE-2021-23932：导致权限提升的标注 (CVSS – 8.2)
• CVE-2021-23933：导致权限提升的标注 (CVSS – 8.2)

SSM（系统管理模块）

• CVE-2021-23924：堆缓冲区溢出导致任意代码执行 (CVSS – 8.2)
• CVE-2021-23925：内存损坏导致任意代码执行 (CVSS – 8.2)
• CVE-2021-23926：内存损坏导致任意代码执行 (CVSS – 8.2)
• CVE-2021-23927：内存损坏导致任意代码执行 (CVSS – 8.2)
• CVE-2021-23928：内存损坏导致任意代码执行 (CVSS – 8.2)
• CVE-2021-23929：内存损坏导致任意代码执行 (CVSS – 8.2)
• CVE-2021-23930：堆缓冲区溢出导致任意代码执行 (CVSS – 8.2)
  • CVE-2021-23931：堆缓冲区溢出导致任意代码执行 (CVSS – 8.2)
  • CVE-2021-23934：内存损坏导致任意代码执行（CVSS – 8.2）

  DXE（驱动程序执行环境）

  • CVE-2021-39297：堆栈缓冲区溢出导致任意代码执行 (CVSS – 7.7)
  • CVE-2021-39299：堆栈缓冲区溢出导致任意代码执行 (CVSS – 8.2)
  • CVE-2021-39300：堆栈溢出导致任意代码执行 (CVSS – 8.2)
  • CVE-2021-39301：堆栈溢出导致任意代码执行 (CVSS – 7.7)

  由于 DXE 和 SSM 在操作系统启动之前被激活，因此在这些组件中利用的任何缺陷都会超过内核操作系统权限并绕过所有保护。

  此外，有能力的恶意行为者可能会利用它们植入持久的固件恶意软件，这些恶意软件在操作系统更新后仍然存在并绕过 UEFI 安全引导、英特尔引导保护和虚拟化安全解决方案。

   

  “由于可信平台模块 (TPM) 测量的限制，固件完整性监控系统无法检测到对所有已发现漏洞的主动利用。由于固件运行时可见性的设计限制，远程设备健康证明解决方案不会检测到受影响的系统，” Binarly关于漏洞的报告提到。

  “不幸的是，我们报告的漏洞中的大多数问题都是可重复的故障，其中一些是由于代码库或遗留组件的复杂性引起的安全关注较少，但仍广泛用于该领域。”

  固件恶意软件不是理论上的，因为我们过去曾报道过国家资助的黑客组织部署 UEFI 恶意软件，例如MoonBounce、  ESPecter和 FinSpy 加载程序。

  此时，解决安全风险的唯一方法是从 HP 的BIOS 升级门户应用可用的固件更新，或者按照这些说明进行操作。

  更广泛的供应链问题

  其中一个缺陷 CVE-2021-39298 被确定为 AMD 参考代码漏洞，因此，它不仅影响 HP，还影响使用特定固件驱动程序 (AgesaSmmSaveMemoryConfig) 的众多计算机供应商
  

  该漏洞是滥用 EFI_BOOT_SERVICES 和 EFI_RUNTIME_SERVICES 的案例，因为它允许非特权 DXE 运行时在 SMM 内运行代码，这违反了既定的安全实践。

  因此，CERT/CC 将与所有受影响的供应商协调，以帮助他们推动针对此权限提升漏洞的修复，至少对于受支持的产品。