Theo công ty bảo mật phần mềm doanh nghiệp Binarly, các lỗ hổng nằm trong firmware InsydeH2O UEFI của Insyde Software, với phần lớn các điểm bất thường được chẩn đoán trong Chế độ quản lý hệ thống (SMM).
UEFI là đặc tả phần mềm cung cấp giao diện lập trình tiêu chuẩn kết nối firmware của máy tính với hệ điều hành của nó trong quá trình khởi động. Trong các hệ thống x86, firmware UEFI thường được lưu trữ trong chip bộ nhớ flash của bo mạch chủ.
Các nhà nghiên cứu cho biết: "Bằng cách khai thác các lỗ hổng này, những kẻ tấn công có thể cài đặt thành công phần mềm độc hại tồn tại cả sau khi cài đặt lại hệ điều hành và cho phép qua mặt các giải pháp bảo mật điểm cuối (EDR/AV), Khởi động an toàn (Secure Boot) và Bảo mật dựa trên ảo hóa (Virtualization-Based Security)".
Việc khai thác thành công các lỗ hổng (điểm CVSS: 7,5 - 8,2) có thể cho phép kẻ độc hại chạy mã tùy ý với quyền SMM, một chế độ thực thi cho mục đích đặc biệt trong bộ xử lý dựa trên x86 để quản lý điện năng, cấu hình phần cứng, giám sát nhiệt và các hoạt động khác.
"Mã SMM thực thi ở mức đặc quyền cao nhất và vô hình đối với hệ điều hành, điều này khiến nó trở thành mục tiêu hấp dẫn cho các hoạt động độc hại", Microsoft lưu ý trong tài liệu của mình và bổ sung rằng vectơ tấn công SMM có thể bị một đoạn mã bất chính lạm dụng để lừa mã khác có đặc quyền cao hơn để thực hiện các hoạt động trái phép.
Tệ hơn nữa, các điểm yếu cũng có thể được xâu chuỗi lại với nhau để bỏ qua các tính năng bảo mật và cài đặt phần mềm độc hại theo cách có thể tồn tại sau các lần cài đặt lại hệ điều hành và đạt được sự tồn tại lâu dài trên các hệ thống bị xâm phạm, như đã quan sát thấy trong trường hợp của MoonBounce, trong khi lén lút tạo một kênh liên lạc để truyền dữ liệu nhạy cảm ra ngoài.
Insyde đã phát hành các bản vá lỗi firmware để giải quyết những lỗ hổng này như một phần của quy trình tiết lộ có phối hợp. Nhưng vì là phần mềm của họ được sử dụng trong một số triển khai OEM nên có thể mất một khoảng thời gian đáng kể trước khi các bản sửa lỗi có hiệu lực trên các thiết bị bị ảnh hưởng.
N.T.A
09:00 | 13/06/2022
08:00 | 13/12/2021
20:00 | 29/01/2022
14:00 | 31/01/2023
09:00 | 22/10/2021
08:00 | 17/04/2024
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
15:00 | 16/04/2024
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
10:00 | 04/03/2024
Mới đây, công ty sản xuất camera Wyze đã chia sẻ thông tin chi tiết về sự cố bảo mật đã ảnh hưởng đến hàng nghìn người dùng vào hôm 16/02 và cho biết ít nhất 13.000 khách hàng có thể xem clip từ camera nhà của những người dùng khác.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
08:00 | 17/04/2024
