Binarly, firma zajmująca się zagrożeniami na poziomie firmware'u, ujawniła w niedawnym poście na blogu, że firmware używany przez kilku głównych dostawców, InsydeH2O "Hardware-2-Operating System" UEFI BIOS, dotknięty jest 23 poważnymi podatnościami. Narażony jest sprzęt takich producentów, jak Microsoft, Intel, HP, Dell, Lenovo czy Fujitsu.
Ogłaszamy dziś odkrycie 23 podatności o dużym znaczeniu w jednej z głównych rodzin oprogramowania Independent BIOS Developers (IBV). Luki te dotyczą nie pojedynczego dostawcy, lecz wszystkich dostawców, którzy wykorzystali kod IBV w swoim oprogramowaniu układowym UEFI. Binarly potwierdziło, że wszystkie te luki znajdują się w kilku ekosystemach głównych dostawców korporacyjnych. Zweryfikowana lista dostawców, których dotyczy problem, obejmuje: Fujitsu, Siemens, Dell, HP, HPE, Lenovo, Microsoft, Intel i Bull Atos.
— Binarly
Jak podają badacze, większość spośród znalezionych anomalii to luki w zabezpieczeniach podatne na ataki exploitami w System Management Mode (SMM). Główną ich przyczynę znaleziono w kodzie referencyjnym powiązanym z kodem frameworka firmware'u InsydeH2O. Wszyscy wspomniani dostawcy sprzętu używali SDK dla firmware'u opartego na Insyde.
Początkowo luki wykryto na laptopach Fujitsu z serii LIFEBOOK, ale szybko okazało się, że sprzęt pozostałych producentów jest w takim samym stopniu podatny. Główne rodzaje podatności to SMM Memory Corruption (12 przypadków), SMM Callout (Privilege Escalation — 10 przypadków) i DXE Memory Corruption (1 przypadek).
