- Eksperci ds. bezpieczeństwa odkryli lukę w sprzęcie komputerowym, która może pozwolić hakerom na cichy dostęp do sprzętu, zainfekowanie go złośliwym oprogramowaniem, a nawet kradzież poufnych danych.
- Te wady znajdują się w oprogramowaniu układowym BIOS (Basic Input Output System), które przygotowuje komputer do rozruchu.
- Poważna luka w zabezpieczeniach systemu BIOS, w której można ominąć uwierzytelnianie oprogramowania układowego, oznacza, że hakerzy będą mogli przejąć kontrolę nad Twoim komputerem.
Użytkownikom systemu Windows, którzy korzystają z komputerów Lenovo, Intel i innych, nie spodoba się wiadomość, że istnieje przeszkadzająca luka w BIOS-ie.
Luki, które można wykorzystać do uzyskania pełnej kontroli administracyjnej nad docelowym systemem, zostały wykryte przez firmę Binarly zajmującą się ochroną oprogramowania układowego.
Firma twierdzi, że dotyczy to ponad dwudziestu producentów sprzętu, w tym czołowych producentów OEM, takich jak Intel, AMD i Lenovo.
Wady o dużym wpływie
UEFI to skrót od Unified Extensible Firmware Interface, który jest podstawową warstwą dla wszystkich nowoczesnych komputerów.
Zapewnia ustandaryzowany sposób wzajemnej interakcji urządzeń, w tym komunikację przez sieć. Umożliwia także administratorom zarządzanie konfiguracją różnych urządzeń, takich jak drukarki, kamery internetowe i inne.
Możesz łatwo napraw wszelkie problemy z BIOS-em zwłaszcza podczas uruchamiania z naszym doskonałym przewodnikiem.
Oprogramowanie układowe Insyde UEFI jest podatne na 23 luki, które umożliwiłyby atakującym uzyskanie pełnej kontroli nad komputerem przy jednoczesnym zachowaniu zdalnego dostępu. Te luki są klasyfikowane jako wady krytyczne i o dużym znaczeniu.
Dwadzieścia trzy poważne wady
23 z tych luk zostało sklasyfikowanych jako krytyczne lub o wysokim stopniu ważności i pozwoliłyby złośliwym podmiotom na: uzyskać dostęp do punktu końcowego na wiele sposobów, w tym ataki keyloggera, wyciek informacji systemowych lub pełne fizyczne dostęp.
23 błędy są śledzone jako: CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE -2021-41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE-2021-43522, CVE-2021-43615, CVE-2021-45969, CVE- 2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031, CVE-2022-24069.
Te trzy mają 9,8 na 10 ocen i są klasyfikowane jako mające duży wpływ. CVE-2021-45969, CVE-2021-45970 i CVE-2021-45971
Pierwotną przyczynę problemu znaleziono w kodzie referencyjnym powiązanym z kodem struktury oprogramowania układowego InsydeH2O. Wszyscy wyżej wymienieni dostawcy (ponad 25) używali pakietu SDK oprogramowania układowego opartego na Insyde do tworzenia swoich części oprogramowania układowego (UEFI).
Łatki rozwiązujące problem
Badacze bezpieczeństwa z Insyde odkryli, że w oprogramowaniu układowym niektórych procesorów Intela występuje niezwykle poważna luka w zabezpieczeniach.
Poprawki bezpieczeństwa to dobra rzecz, ale nie zawsze są publikowane wystarczająco szybko. Firma Insyde wydała poprawki oprogramowania układowego, które mają pomóc w rozwiązaniu problemu, ale muszą one teraz zostać zaakceptowane przez producentów OEM i opublikowane w produktach, których dotyczy problem, co może trochę potrwać.
Innymi słowy, możesz dostać łatkę na swój komputer już dziś, ale może nie działać do jutra. Co więcej, Twój komputer może przestać działać po jego zainstalowaniu, jeśli nie zainstalujesz również poprawki do innego oprogramowania, z którego korzystasz na co dzień.
Niektórzy producenci OEM nie potwierdzają jeszcze, że zostały dotknięte, więc to trochę potrwa. Również możesz zaktualizuj BIOS łatwo, jeśli jeszcze tego nie zrobiłeś.
Czy Twój komputer został dotknięty wadami BIOS-u? Daj nam znać w sekcji komentarzy poniżej.
