🥇Уязвимости във фърмуера на UEFI, базиран на рамката InsydeH2O, позволяваща изпълнение на код на ниво SMM

В рамката InsydeH2O, използвана от много производители за създаване на UEFI фърмуер за тяхното оборудване (най-често срещаната реализация на UEFI BIOS), са идентифицирани 23 уязвимости, които позволяват кодът да бъде изпълнен на ниво SMM (режим на управление на системата), което има по-висок приоритет (Ring -2) от режима на хипервайзор и нулев пръстен на защита и има неограничен достъп до цялата памет. Проблемът засяга фърмуера на UEFI, използван от производители като Fujitsu, Siemens, Dell, HP, HPE, Lenovo, Microsoft, Intel и Bull Atos.

Използването на уязвимости изисква локален достъп с администраторски права, което прави проблемите популярни като второстепенни уязвимости, използвани след експлоатация на други уязвимости в системата или използване на методи за социално инженерство. Достъпът на ниво SMM ви позволява да изпълнявате код на ниво, което не се контролира от операционната система, което може да се използва за модифициране на фърмуера и оставяне на скрит злонамерен код или руткитове в SPI Flash, които не се откриват от операционната система, както и за деактивиране на проверката на етапа на зареждане (UEFI Secure Boot, Intel BootGuard) и атаки срещу хипервайзори за заобикаляне на механизми за проверка на целостта на виртуални среди.

Използването на уязвимостите може да се извърши от операционната система с помощта на непроверени SMI (System Management Interrupt) манипулатори, както и на етапа на предварително изпълнение на операционната система по време на началните етапи на зареждане или връщане от режим на заспиване. Всички уязвимости са причинени от проблеми с паметта и са разделени в три категории:

SMM Callout - изпълнение на вашия код със SMM права чрез пренасочване на изпълнението на манипулатори на прекъсвания SWSMI към код извън SMRAM;
Повреда на паметта, която позволява на атакуващ да запише данните си в SMRAM, специална изолирана област на паметта, в която кодът се изпълнява с SMM права.
Повреда на паметта в код, работещ на ниво DXE (Driver eXecution Environment).

За да се демонстрират принципите на организиране на атака, беше публикуван пример за експлойт, който позволява чрез атака от третия или нулевия пръстен на защита да получите достъп до DXE Runtime UEFI и да изпълните вашия код. Експлойтът манипулира препълване на стека (CVE-2021-42059) в драйвера UEFI DXE. По време на атаката атакуващият може да постави кода си в DXE драйвера, който остава активен след рестартиране на операционната система, или да направи промени в областта NVRAM на SPI Flash. По време на изпълнение кодът на атакуващия може да направи промени в привилегировани области на паметта, да модифицира услугите на EFI Runtime и да повлияе на процеса на зареждане.

Източник: opennet.ru

Уязвимости във фърмуера на UEFI, базиран на рамката InsydeH2O, позволяваща изпълнение на код на ниво SMM

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар