Eine Schwachstelle in UEFI-Firmware, die es ermöglicht, Code auf SMM-Ebene auszuführen.

Information über die Sicherheitsanfälligkeit (CVE-2021-33164) in UEFI-Firmware wurde offengelegt. Diese ermöglicht die Ausführung von Code auf der SMM (System Management Mode)-Ebene, die vorrangiger ist als der Hypervisor-Modus und die Nullring-Schutzebene. Dadurch wird unbeschränkter Zugriff auf den gesamten Systemspeicher gewährt. Die als RingHopper bezeichnete Schwachstelle ist mit der Möglichkeit verbunden, eine zeitbasierte Attacke mittels DMA (Direct Memory Access) durchzuführen, um den Speicher in der auf SMM-Ebene ausgeführten Software zu manipulieren. Die Anfälligkeit ist in den Firmware-Versionen von Intel, Dell und Insyde Software bestätigt worden (es wird behauptet, dass insgesamt 8 Hersteller betroffen sind, jedoch werden die übrigen 5 bisher nicht offengelegt). Die Firmware von AMD, Phoenix und Toshiba ist von diesem Problem nicht betroffen.

Die Ausnutzung von Schwachstellen kann über das Betriebssystem erfolgen, indem verwundbare SMI-Handler (System Management Interrupt) verwendet werden, auf die Administratorrechte erforderlich sind. Ein Angriff kann ebenfalls bei physischem Zugang zu einem frühen Bootzeitpunkt, vor der Initialisierung des Betriebssystems, durchgeführt werden. Um das Problem zu beheben, wird Linux-Nutzern empfohlen, die Firmware über den Dienst LVFS (Linux Vendor Firmware Service) zu aktualisieren, indem sie das Tool fwupdmgr verwenden (fwupdmgr get-updates; fwupdmgr update) aus dem Paket fwupd.

Die Notwendigkeit von Administratorrechten zur Durchführung eines Angriffs schränkt zwar das Risiko des Problems ein, hindert jedoch nicht daran, es als Schwachstelle der zweiten Ebene zu nutzen, um nach der Ausnutzung anderer Schwachstellen im System oder der Anwendung von Social Engineering-Techniken die eigene Präsenz aufrechtzuerhalten. Der Zugang zu SMM (Ring -2) ermöglicht die Ausführung von Code auf einer Ebene, die außerhalb der Kontrolle des Betriebssystems liegt. Dies kann zur Modifikation von Firmware und zur Platzierung versteckter Malware oder Rootkits im SPI Flash verwendet werden, die vom Betriebssystem nicht erkannt werden, sowie zur Deaktivierung der Überprüfung während des Bootvorgangs (UEFI Secure Boot, Intel BootGuard) und zu Angriffen auf Hypervisoren zur Umgehung der Integritätsprüfmechanismen virtueller Umgebungen.

Das Problem wird durch einen Race Condition im SMI-Handler (System Management Interrupt) verursacht, der zwischen der Zugriffsprüfung und dem Zugriff auf den SMRAM auftritt. Zur Bestimmung des geeigneten Zeitpunkts zwischen der Statusüberprüfung und der Nutzung des Prüfergebnisses kann eine Analyse über externe Kanäle mithilfe von DMA verwendet werden. Infolgedessen kann ein Angreifer aufgrund der asynchronen Natur des Zugriffs auf SMRAM über DMA den optimalen Moment bestimmen und den Inhalt von SMRAM überschreiben, indem er DMA direkt am SMI-Handler vorbei nutzt. Prozessoren mit Unterstützung für Intel-VT- und Intel VT-d-Mechanismen bieten Schutz gegen DMA-Angriffe, der auf der Verwendung von IOMMU (Input-Output Memory Management Unit) basiert. Dieser Schutz ist jedoch wirksam, um hardwarebasierte DMA-Angriffe zu blockieren, die von vorbereiteten Angreifern durchgeführt werden, und schützt nicht vor Angriffen über SMI-Handler.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster