Navorsers van Binarly het 'n reeks kwesbaarhede in die beeldontledingskode wat in UEFI-firmware van verskeie vervaardigers gebruik word, geïdentifiseer. Die kwesbaarhede laat 'n mens toe om kode-uitvoering tydens selflaai te verkry deur 'n spesiaal ontwerpte prent in die ESP (EFI System Partition)-afdeling of in 'n deel van die firmware-opdatering te plaas wat nie digitaal onderteken is nie. Die voorgestelde aanvalmetode kan gebruik word om die UEFI Secure Boot-geverifieerde selflaaimeganisme en hardewarebeskermingsmeganismes soos Intel Boot Guard, AMD Hardware-Validated Boot en ARM TrustZone Secure Boot te omseil.
Die probleem word veroorsaak deur die feit dat die firmware jou toelaat om gebruiker-gespesifiseerde logo's te vertoon en gebruik beeldontledingsbiblioteke hiervoor, wat op die firmwarevlak uitgevoer word sonder om voorregte terug te stel. Daar word kennis geneem dat moderne firmware kode bevat vir die ontleding van BMP-, GIF-, JPEG-, PCX- en TGA-formate, wat kwesbaarhede bevat wat lei tot bufferoorloop wanneer verkeerde data ontleed word.
Kwesbaarhede is geïdentifiseer in fermware wat deur verskeie hardewareverskaffers (Intel, Acer, Lenovo) en fermwarevervaardigers (AMI, Insyde, Phoenix) verskaf word. Omdat die probleemkode teenwoordig is in die verwysingskomponente wat deur onafhanklike fermwareverkopers verskaf word en as basis vir verskeie hardewarevervaardigers gebruik word om hul firmware te bou, is die kwesbaarhede nie verkoperspesifiek nie en raak die hele ekosisteem.
Besonderhede oor die geïdentifiseerde kwesbaarhede word belowe om op 6 Desember by die Black Hat Europe 2023-konferensie bekend gemaak te word. Die aanbieding by die konferensie sal ook 'n uitbuiting demonstreer wat jou toelaat om jou kode uit te voer met firmwareregte op stelsels met x86- en ARM-argitektuur. Aanvanklik is die kwesbaarhede geïdentifiseer tydens die ontleding van Lenovo-firmware gebou op platforms van Insyde, AMI en Phoenix, maar fermware van Intel en Acer is ook genoem as potensieel kwesbaar.
Bron: opennet.ru