InsydeH2O UEFI BIOS 被曝存在 23 个安全漏洞 波及大批电脑厂家
专业处理固件威胁的安全研究公司 Binarly,刚刚在周二的一篇博客文章中披露了 InsydeH2O“Hardware-2-Operating System”UEFI BIOS 中存在的问题。作为微软、英特尔、惠普、戴尔、联想、西门子、富士通等多家科技巨头的固件供应商,这意味着它们都易受将近两打安全漏洞的影响。
Binarly.io 在网站上披露了总共 23 个此类漏洞,可知其主要波及所谓的“系统管理模式”(简称 *** M):
由于这是固件级别的缺陷,因而成功利用可能导致几乎无法摆脱的持久性恶意软件。
其中大多数漏洞(CVSS 评分 7.5 – 8.2 / 高危)可利用 *** M 权限执行代码,在借此绕过安全功能之后,这些漏洞还可在长期持久性的第二阶段继续发挥作用。
得逞后,攻击者可让消费者在重装系统后也无法摆脱顽固的恶意软件,并允许其绕过端点安全解决方案(EDR / AV)、安全启动、以及基于虚拟化的安全隔离措施。
更糟糕的是,由于可信平台模块(TPM)的固件运行时可见性设计限制,固件完整性监测系统和远程设备健康证明解决方案也无法检测到对所有已发现漏洞的主动利用。
据悉,Binarly 首先是在富士通 LifeBook 笔记本电脑上发现了这一漏洞,然后很快意识到其它供应商也面临同样的问题 —— 因为它们都选用了 InsydeH2O UEFI 解决方案。
(消息及封面来源:cnBeta)
“InsydeH2O UEFI BIOS 被曝存在 23 个安全漏洞 波及大批电脑厂家” 的相关文章
微软曝光 Nimbuspwn 漏洞组合 可在 Linux 本地提权部署恶意软件
近日名为 Nimbuspwn 的漏洞组合被曝光,可以让本地攻击者在 Linux 系统上提升权限,部署从后门到勒索软件等恶意软件。微软的安全研究人员在今天的一份报告中披露了这些问题,并指出它们可以被串联起来,在一个脆弱的系统上获得 root 权限。 Nimbuspwn 存在于 networkd-dis...
意大利对 Clearview AI 罚款 2000 万欧元并令其删除数据
一家欧洲隐私监督机构已经制裁了有争议的面部识别公司Clearview AI,该公司从互联网上搜刮自拍,积累了约100亿张脸的数据库,为其出售给执法部门的身份匹配服务。意大利的数据保护机构今天宣布对Clearview AI违反欧盟法律的行为处以2000万欧元罚款。 同时命令这家有争议的公司删除其...
微软捣毁 ZLoader 犯罪僵尸网络
微软今天宣布近日捣毁了一个名为 ZLoader 的主要犯罪僵尸网络,这也是使用 XLM 宏作为攻击面的僵尸网络之一。微软的最新行动包括技术和法律活动,以破坏利用 ZLoader 作为恶意软件即服务(malware-as-a-service)的犯罪集团的运作。 在本次捣毁行动中,微软还锁定了一位开发...
FBI 称 2021 年互联网犯罪给人们带来的损失超过 69 亿美元
根据FBI的年度互联网犯罪报告,2021年人们因互联网犯罪而损失了超69亿美元,这比2020年猛增了20多亿美元。该报告于周二发布,包含了向美联邦执法机构的互联网犯罪投诉中心报告的最普遍的互联网诈骗信息 资料图 据FBI介绍称,2021年共有847,376起互联网犯罪投诉,虽然比2020年只增加了...
Log4Shell 重创 Kronos 私有云服务:打乱公司运作 影响节前工资发放
一场严重的勒索软件危机打乱了很多大公司的运作,一些工人则担忧无法在圣诞假期前拿到最后一笔工资。而这一切的魁首就是近期臭名昭著的 Log4Shell 攻击,这让劳务解决方案公司 Kronos 可能要面临持续数周的业务中断。这一安全事件已经影响了纽约市地铁交通局、本田公司、GameStop 等机构的人力...
针对近期异常登录 LastPass 回应:暂无证据表明数据泄露
针对有用户报告称存在未经授权的登录尝试之后,LastPass 方面表示目前并没有证据表明存在数据泄漏。LogMeIn 全球公关部高级主管 Nikolett Bacso-Albaum 向 The Verge 表示,用户收到的警报和“相当常见的机器人活动”有关。 他表示涉及到使用电子邮件地址和密码登录...
评论列表
发表评论
