El firmware UEFI de la compañía de software Insyde tiene veintitres fallas, muchas de las que son críticas y dejarían que los actores maliciosos persistan en un dispositivo objetivo, instalen malware, birlen datos reservados y consigan acceso recóndito al dispositivo, advirtieron los especialistas.

Las fallas fueron descubiertas por la firma de protección de firmware Binarly, que afirma que más de un par de docenas de fabricantes de hardware están afectados, incluidos OEM de alta gama como Fujitsu, Intel, AMD, Lenovo, Dell, ASUS, HP, Siemens, Microsoft y Acer.

UEFI (Interfaz de firmware extensible unificada) es una interfaz de software que actúa como puente entre el firmware del dispositivo y el sistema operativo. Maneja el comienzo, el diagnóstico del sistema y ciertas funciones de reparación del sistema.

Fallas de alta severidad

De las veintitres fallas que se han descubierto, la mayor parte radica en el modo perfecto de administración del sistema (SMM), cuyos privilegios superan los del SO.

Los veintitres defectos se rastrean de la próxima manera: CVE-dos mil veinte-veintisiete mil trescientos treinta y nueve, CVE-dos mil veinte-cinco mil novecientos cincuenta y tres, CVE-dos mil veintiuno-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE-2021-41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE- 2021-43522, CVE-2021-43615, CVE-2021-45969, CVE-2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031, CVE-2022-24069.

De estos, 3 (CVE-dos mil veintiuno-45969, CVE-dos mil veintiuno-45970 y CVE-dos mil veintiuno-cuarenta y cinco mil novecientos setenta y uno) recibieron una calificación de gravedad de nueve con ocho sobre diez.

«La causa raíz del inconveniente se halló en el código de referencia asociado con el código del marco de firmware de InsydeH2O», explicó Binarly.

«Todos y cada uno de los distribuidores ya antes citados (más de veinticinco) estaban empleando el SDK de firmware basado en Insyde para desarrollar sus piezas de firmware (UEFI)».

Aunque Insyde ha publicado correcciones de firmware para asistir a solucionar el inconveniente, ahora los OEM deben admitirlas y publicarlas en los productos afectados, lo que puede llevar cierto tiempo. Lo que complica todavía más el inconveniente es el hecho de que ciertos de los dispositivos afectados han superado la data de finalización de su vida útil y ya no son compatibles.

Otros pueden cruzar este umbral ya antes de que los OEM hallen una solución.

BleepingComputer apunta que solo Insyde, Fujitsu y también Intel han confirmado que se ven afectados por las fallas. Rockwell, Supermicro y Toshiba han confirmado que no se ven afectados. Los OEM sobrantes aún están estudiando el tema.

  • Asimismo puede preguntar nuestra lista de los mejores cortafuegos ahora.

Vía: BleepingComputer

Share This