在数百万台HP设备中发现新的16个高严重性UEFI固件缺陷

网络安全研究人员周二披露，在影响多台惠普企业设备的统一可扩展固件接口（UEFI）固件的各种实现中，出现了16个新的严重安全漏洞。

这些缺点的CVSS分数在7.5到8.8之间，已经在HP的UEFI固件中发现。受影响的设备包括惠普的笔记本电脑、台式机、销售点（PoS）系统和边缘计算节点。

“通过利用所披露的漏洞，攻击者可以利用这些漏洞在操作系统下方的固件中执行特权代码，并可能传递持久的恶意代码，使其在操作系统重新安装后幸存，并允许绕过端点安全解决方案（EDR/AV）固件安全公司Binarly在与《黑客新闻》分享的一份报告中说。

其中最严重的缺陷涉及固件的系统管理模式（SMM）中的一些内存损坏漏洞，从而允许以最高权限执行任意代码。

“不幸的是，大多数问题[…；]是可重复的故障，其中一些是由于代码库或遗留组件的复杂性造成的，这些组件获得的安全关注较少，但仍在该领域广泛使用，”研究人员指出。

一个多月前，Insyde Software的InsydeH2O UEFI固件中发现了23个具有高影响力的漏洞，这些漏洞可以被武器化，以部署能够规避安全系统的持久性恶意软件。

美国商务部和国土安全部在上个月发布的一份报告中强调，“固件层的安全经常被忽视，但这是设备中的一个单点故障，是攻击者可以大规模破坏设备的最隐蔽的方法之一。”。