Sicherheitsanfälligkeiten in den Treibern für Broadcom-WiFi-Chips, die Angriffe auf das System aus der Ferne ermöglichen.

In den Treibern für drahtlose Broadcom-Chips 35 Schwachstellen identifiziert, auf deren Grundlage mehrere Angriffsszenarien entwickelt wurden, die es ermöglichen, AES-Schlüssel aus der Enklave zu extrahieren oder die Ausführung eigenen Codes durch das Schaffen von Bedingungen für die Beschädigung des Speicherinhalts zu organisieren. vier Sicherheitsanfälligkeiten. Im einfachsten Fall können die Sicherheitsanfälligkeiten für einen Remote-Denial-of-Service-Angriff genutzt werden. Es sind jedoch auch Szenarien denkbar, in denen Exploits entwickelt werden, die es einem unbefugten Angreifer ermöglichen, seinen Code mit Kernelberechtigungen unter Linux auszuführen, indem speziell gestaltete Pakete gesendet werden.

Die Probleme wurden im Zuge des Reverse Engineerings von Broadcom-Firmware entdeckt. Die betroffenen Chips kommen in Laptops, Smartphones und verschiedenen Verbraucherelektronikgeräten zum Einsatz, von SmartTVs bis hin zu IoT-Geräten. Insbesondere werden Broadcom-Chips in Smartphones von Herstellern wie Apple, Samsung und Huawei verwendet. Bemerkenswert ist, dass Broadcom bereits im September 2018 über die Probleme informiert wurde, die koordinierte Veröffentlichung von Patches durch die Gerätehersteller dauerte jedoch etwa 7 Monate.

Zwei Schwachstellen betreffen interne Firmware und ermöglichen potenziell die Ausführung von Code im Umfeld des Betriebssystems, das in Broadcom-Chips verwendet wird. Dadurch können Umgebungen angegriffen werden, die kein Linux verwenden (so wurde beispielsweise die Möglichkeit eines Angriffs auf Apple-Geräte bestätigt, CVE-2019-8564). Einige Wi-Fi-Chips von Broadcom sind spezialisierte Prozessoren (ARM Cortex R4 oder M3), die eine Art eigenes Betriebssystem mit ihrer Implementierung des 802.11-Wireless-Stacks (FullMAC) ausführen. In solchen Chips sorgt der Treiber dafür, dass die Hauptsystemsoftware mit der Firmware des Wi-Fi-Chips interagiert. Um die volle Kontrolle über das Hauptsystem nach der Kompromittierung von FullMAC zu erlangen, wird empfohlen, zusätzliche Schwachstellen auszunutzen oder bei einigen Chips auf den vollständigen Zugriff auf den Systemspeicher zuzugreifen. Bei Chips mit SoftMAC wird der 802.11-Wireless-Stack auf der Treiberseite implementiert und unter Verwendung der System-CPU ausgeführt.

Sicherheitsanfälligkeiten in den Treibern für Broadcom-WiFi-Chips, die Angriffe auf das System aus der Ferne ermöglichen.

Schwachstellen in den Treibern zeigen sich sowohl im proprietären Treiber wl (SoftMAC und FullMAC) als auch im offenen brcmfmac (FullMAC). Im Treiber wl wurden zwei Pufferüberläufe entdeckt, die bei der Übertragung speziell formatierter EAPOL-Nachrichten während des Verbindungsaufbaus ausgenutzt werden können (ein Angriff kann beim Verbinden mit einem bösartigen Access Point erfolgen). Bei einem Chip mit SoftMAC führen die Schwachstellen zu einer Kompromittierung des Systemkerns, während im Fall von FullMAC Code auf der Firmware-Seite ausgeführt werden kann. Im brcmfmac sind sowohl ein Pufferüberlauf als auch ein Fehler bei der Überprüfung der verarbeiteten Frames vorhanden, die durch das Senden von Steuerframes ausgenutzt werden können. Im Linux-Kernel gibt es Probleme im Treiber brcmfmac. wurden wurden im Februar.

Identifizierte Schwachstellen:

  • CVE-2019-9503 — Fehlerhaftes Verhalten des Treibers brcmfmac bei der Verarbeitung von Steuerrahmen, die zur Kommunikation mit der Firmware verwendet werden. Wenn ein Rahmen mit einem Firmware-Ereignis aus einer externen Quelle kommt, wird er vom Treiber verworfen. Bei Empfang des Ereignisses über den internen Bus wird der Rahmen jedoch durchgelassen. Das Problem besteht darin, dass über den internen Bus Ereignisse von Geräten, die USB verwenden, übertragen werden. Dies ermöglicht Angreifern, steuerbare Firmware-Rahmen erfolgreich zu übermitteln, wenn drahtlose Adapter mit einer USB-Schnittstelle verwendet werden.
  • CVE-2019-9500 — Durch Aktivierung der Funktion „Wake-up on Wireless LAN“ kann eine Heap-Überlauf im Treiber brcmfmac (Funktion brcmf_wowl_nd_results) durch das Senden eines speziell manipulierten Steuerrahmens ausgelöst werden. Diese Schwachstelle kann genutzt werden, um die Ausführung von Code im Hauptsystem nach einer Kompromittierung des Chips zu erzwingen oder in Kombination mit der Schwachstelle CVE-2019-9503, um Überprüfungen bei der Fernübertragung eines Steuerrahmens zu umgehen.
  • CVE-2019-9501 — Bufferüberlauf im wl-Treiber (Funktion wlc_wpa_sup_eapol), der auftritt, wenn Nachrichten verarbeitet werden, deren Herstellerinformationen 32 Byte überschreiten;
  • CVE-2019-9502 — Bufferüberlauf im wl-Treiber (Funktion wlc_wpa_plumb_gtk), der auftritt, wenn Nachrichten verarbeitet werden, deren Herstellerinformationen 164 Byte überschreiten.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster