在多家供应商使用的UEFI固件中发现了数十个安全缺陷

在众多供应商（包括Bull Atos、Fujitsu、HP、Juniper Networks、Lenovo等）使用的统一可扩展固件接口（UEFI）固件的不同实现中，已发现多达23个新的高严重性安全漏洞。

据企业固件安全公司Binarly称，这些漏洞存在于Insyde软件的InsydeH2O UEFI固件中，大多数异常都是在系统管理模式（SMM）中诊断出来的。

UEFI是一种软件规范，提供一个标准编程接口，在引导过程中将计算机固件连接到其操作系统。在x86系统中，UEFI固件通常存储在主板的闪存芯片中。

研究人员说：“通过利用这些漏洞，攻击者可以成功安装在操作系统重新安装后仍能存活的恶意软件，并允许绕过端点安全解决方案（EDR/AV）、安全引导和基于虚拟化的安全隔离。”。

成功利用这些缺陷（CVSS分数：7.5-8.2）可能会允许恶意参与者使用SMM权限运行任意代码，这是基于x86的处理器中的一种特殊用途执行模式，可处理电源管理、硬件配置、热监控和其他功能。

“SMM代码执行在最高特权级别，并且对操作系统是不可见的，这使得它成为恶意活动的吸引人的目标。”微软在其文档中指出，添加SMM攻击向量可能被一个恶毒代码滥用，从而诱骗另一个具有更高特权的代码执行未经授权的活动。

更糟糕的是，这些弱点还可以被链接在一起，绕过安全功能，安装恶意软件的方式可以在操作系统重新安装后幸存下来，并在受损系统上实现长期持久性—；正如在月球反弹的情况下所观察到的那样—；同时偷偷地创建一个通信通道来过滤敏感数据。

Insyde发布了固件补丁，作为协调披露过程的一部分，解决了这些缺陷。但事实上，该软件已在多个OEM实施中使用，这意味着修复程序可能需要相当长的时间才能真正渗透到受影响的设备。