Уязвимость VU#211341: Уязвимость в приложении Insyde H2O позволяет внедрять цифровые сертификаты через NVRAM переменную
Уязвимость в фирменном ПО Insyde H2O UEFI позволяет внедрять цифровые сертификаты в незащищенную переменную NVRAM. Это происходит из-за небезопасного использования переменной NVRAM, которая используется как доверенное хранилище для цифрового сертификата в цепочке проверки доверия. Атакующий может хранить свой сертификат в этой переменной и последовательно запускать произвольный фирменный код в раннем процессе загрузки в среде UEFI. Приложения UEFI должны быть подписаны и проверены для выполнения в безопасном режиме загрузки, и подписи могут происходить от OEM или из записей в базе данных подписей системы. Уязвимость была выявлена из-за использования незащищенной переменной SecureFlashCertData для хранения и обмена открытыми ключами. Поскольку эта переменная NVRAM не защищена, она может быть обновлена в runtime, позволяя атакующему внедрять свои ключи. Для уменьшения этой уязвимости необходимо обновить соответствующие модули UEFI с помощью обновлений фирменного ПО, предоставленных поставщиком. Инструменты анализа безопасности фирменного ПО также могут инспектировать затронутые переменные в образах фирменного ПО, чтобы оценить уязвимость к этой уязвимости. Атакующий, имеющий возможность изменять переменную NVRAM SecureFlashCertData в runtime, использовать ее для внедрения цифрового сертификата и обхода безопасного режима загрузки. Это позволяет запускать незаконченный или злонамеренный код до загрузки ОС, потенциально устанавливающий постоянное вредоносное ПО или ядра rootkit, которые переживают перезагрузки и переустановки ОС.