มีรายงานการค้นพบช่องโหว่ด้านความปลอดภัยที่มีระดับความรุนแรงสูงใหม่มากถึง 23 รายการ ในการใช้งานที่แตกต่างกันของ UEFI firmware ซึ่งถูกใช้งานจาก Vendor จำนวนมาก รวมไปถึง Bull atos, Fujitsu, HP, Juniper Networks, Lenovo, และ Vendor อื่น ๆ อีกมากมาย
ช่องโหว่ดังกล่าวเกิดขึ้นภายใน InsydeH2O UEFI ของ Insyde Software ตามข้อมูลของบริษัทรักษาความปลอดภัย Binarly โดยความผิดปกติส่วนใหญ่ที่พบอยู่ในโหมดของการจัดการระบบ System Management Mode (SMM)
UEFI เป็นซอฟต์แวร์ Specification ที่ช่วยให้อินเทอร์เฟซของโปรแกรมสามารถเชื่อมต่อระหว่างเฟิร์มแวร์ของคอมพิวเตอร์กับระบบปฏิบัติการในระหว่างกระบวนการบูต โดยในระบบ x86 firmware UEFI มักจะถูกเก็บไว้ในชิปหน่วยความจำแฟลชของเมนบอร์ด
"โดยการใช้ช่องโหว่เหล่านี้ ผู้โจมตีสามารถติดตั้งมัลแวร์ที่แม้จะมีการติดตั้งระบบปฏิบัติการใหม่ก็สามารถยังทำงานอยู่ได้ และทำให้สามารถ Bypass โซลูชั่นความปลอดภัยจำพวก Endpoint(EDR/AV), Secure Boot, และ Virtualization-Based Security isolation ได้อีกด้วย" นักวิจัยกล่าว
การใช้ประโยชน์จากช่องโหว่ (CVSS scores: 7.5 - 8.2) อาจทำให้ผู้ไม่หวังดีเรียกใช้โค้ดด้วยสิทธิ์ SMM ซึ่งเป็นโหมดการดำเนินการพิเศษใน x86-based processors ที่จัดการด้าน power management, hardware configuration, thermal monitoring, และฟังก์ชั่นอื่น ๆ
"SMM ทำงานในระดับสิทธิ์สูงสุด และไม่ปรากฏบน OS ซึ่งทำให้เป็นเป้าหมายที่น่าสนใจสำหรับใช้ในการโจมตี" Microsoft ระบุในเอกสารประกอบว่า การเพิ่มช่องทางการโจมตีด้วยช่องโหว่ SMM อาจถูกนำไปใช้ร่วมกันในการโจมตีลักษณะอื่นๆได้
ที่แย่ไปกว่านั้น ผู้โจมตียังสามารถใช้ช่องโหว่ต่างๆร่วมกันเพื่อ bypass security features และติดตั้งมัลแวร์ ในลักษณะที่สามารถคงอยู่ได้หลังจากการติดตั้งระบบปฏิบัติการใหม่ และคงอยู่ในระยะยาวบนระบบที่ถูกบุกรุกได้สำเร็จ จากข้อสังเกตในกรณีของ MoonBounce มีการแอบสร้างช่องทางการเชื่อมต่อออกไปภายนอกเพื่อขโมยข้อมูลที่มีความสำคัญออกไปด้วย
Insyde ได้เปิดตัวแพตช์ firmware ที่แก้ไขช่องโหว่เหล่านี้ แต่ความจริงที่ว่าซอฟต์แวร์นี้ถูกใช้ในการใช้งาน OEM หลายตัว หมายความว่าอาจต้องใช้เวลาพอสมควรก่อนที่การแก้ไขจะทะยอยลงไปยังอุปกรณ์ที่ได้รับผลกระทบ
ที่มา : thehackernews