VU#211341: Eine Schwachstelle ... Notiz

VU#211341: Eine Schwachstelle in der Insyde H2O UEFI-Anwendung ermöglicht die Einschleusung digitaler Zertifikate über eine NVRAM-Variable

Ein Schwachpunkt in der Insyde H2O UEFI-Firmware ermöglicht die Einschleusung digitaler Zertifikate durch eine ungeschützte NVRAM-Variable. Dieses Problem entsteht durch die unsichere Verwendung einer NVRAM-Variable, die als vertrauenswürdiger Speicher für ein digitales Zertifikat in der Vertrauensvalidierungs-Kette verwendet wird. Ein Angreifer kann sein eigenes Zertifikat in dieser Variable speichern und anschließend willkürlichen Firmware-Code während des frühen Boot-Prozesses im UEFI-Umfeld ausführen. UEFI-Anwendungen müssen signiert und überprüft werden, bevor sie unter Secure Boot ausgeführt werden können, und Signaturen können von OEM oder aus Einträgen in der Signatur-Datenbank stammen. Der Schwachpunkt wurde aufgrund der Verwendung einer unvertrauenswürdigen NVRAM-Variable, SecureFlashCertData, zum Speichern und Austausch von öffentlichen Schlüsseln erkannt. Da diese NVRAM-Variable nicht geschützt ist, kann sie zur Laufzeit aktualisiert werden, was es einem Angreifer ermöglicht, seine eigenen Schlüssel einzuschleusen. Um diesen Schwachpunkt zu mildern, müssen betroffene UEFI-Module über Firmware-Updates von Herstellern aktualisiert werden. Firmware-Sicherheitsanalyse-Werkzeuge können betroffene Variablen in Firmware-Images überprüfen, um die Exposition gegenüber diesem Schwachpunkt zu bewerten. Ein Angreifer, der die Möglichkeit hat, die SecureFlashCertData-NVRAM-Variable zur Laufzeit zu ändern, kann sie verwenden, um sein eigenes digitales Zertifikat einzuschleusen und Secure Boot zu umgehen. Dies ermöglicht es, unsignierten oder bösartigen Code vor dem Laden des Betriebssystems auszuführen, was potenziell persistente Malware oder Kernel-Rootkits installiert, die auch nach Neustart und Neuinstallation des Betriebssystems überdauern.