Neun Schwachstellen wurden in der UEFI-Firmware identifiziert, die auf der offenen Plattform TianoCore EDK2 basiert, die häufig auf Serversystemen verwendet wird und zusammen den Codenamen PixieFAIL trägt. Im Netzwerk-Firmware-Stack, der zum Organisieren des Netzwerkstarts (PXE) verwendet wird, sind Sicherheitslücken vorhanden. Die gefährlichsten Schwachstellen ermöglichen es einem nicht authentifizierten Angreifer, Remotecode auf Firmware-Ebene auf Systemen auszuführen, die PXE-Booten über ein IPv9-Netzwerk ermöglichen.
Weniger schwerwiegende Probleme führen zu Denial-of-Service (Boot-Blockierung), Informationslecks, DNS-Cache-Poisoning und TCP-Sitzungs-Hijacking. Die meisten Schwachstellen können vom lokalen Netzwerk aus ausgenutzt werden, einige Schwachstellen können jedoch auch von einem externen Netzwerk aus angegriffen werden. Ein typisches Angriffsszenario besteht darin, den Datenverkehr in einem lokalen Netzwerk zu überwachen und speziell entwickelte Pakete zu versenden, wenn Aktivitäten im Zusammenhang mit dem Booten des Systems über PXE erkannt werden. Ein Zugriff auf den Download-Server oder DHCP-Server ist nicht erforderlich. Zur Demonstration der Angriffstechnik wurden Prototyp-Exploits veröffentlicht.
UEFI-Firmware auf Basis der TianoCore EDK2-Plattform wird in vielen großen Unternehmen, Cloud-Anbietern, Rechenzentren und Rechenclustern eingesetzt. Insbesondere das anfällige NetworkPkg-Modul mit PXE-Boot-Implementierung wird in Firmware verwendet, die von ARM, Insyde Software (Insyde H20 UEFI BIOS), American Megatrends (AMI Aptio OpenEdition), Phoenix Technologies (SecureCore), Intel, Dell und Microsoft (Project Mu ). Es wurde angenommen, dass die Schwachstellen auch die ChromeOS-Plattform betreffen, die über ein EDK2-Paket im Repository verfügt. Google gab jedoch an, dass dieses Paket nicht in der Firmware für Chromebooks verwendet wird und die ChromeOS-Plattform von dem Problem nicht betroffen ist.
Identifizierte Schwachstellen:
- CVE-2023-45230 – Ein Pufferüberlauf im DHCPv6-Client-Code, der durch die Übergabe einer zu langen Server-ID (Server-ID-Option) ausgenutzt wird.
- CVE-2023-45234 – Bei der Verarbeitung einer Option mit DNS-Serverparametern, die in einer Nachricht übergeben werden, die das Vorhandensein eines DHCPv6-Servers ankündigt, tritt ein Pufferüberlauf auf.
- CVE-2023-45235 – Pufferüberlauf bei der Verarbeitung der Server-ID-Option in DHCPv6-Proxy-Ankündigungsnachrichten.
- CVE-2023-45229 ist ein ganzzahliger Unterlauf, der während der Verarbeitung von IA_NA/IA_TA-Optionen in DHCPv6-Nachrichten auftritt, die einen DHCP-Server ankündigen.
- CVE-2023-45231 Bei der Verarbeitung von ND-Redirect-Nachrichten (Neighbor Discovery) mit abgeschnittenen Optionswerten tritt ein Datenleck außerhalb des Puffers auf.
- CVE-2023-45232 Beim Parsen unbekannter Optionen im Header „Zieloptionen“ tritt eine Endlosschleife auf.
- CVE-2023-45233 Beim Parsen der PadN-Option im Paketheader tritt eine Endlosschleife auf.
- CVE-2023-45236 – Verwendung vorhersehbarer TCP-Sequenz-Seeds, um TCP-Verbindungsverkeilung zu ermöglichen.
- CVE-2023-45237 – Verwendung eines unzuverlässigen Pseudozufallszahlengenerators, der vorhersehbare Werte erzeugt.
Die Schwachstellen wurden am 3. August 2023 an CERT/CC übermittelt und der Offenlegungstermin war für den 2. November geplant. Aufgrund der Notwendigkeit einer koordinierten Patch-Veröffentlichung über mehrere Anbieter hinweg wurde das Veröffentlichungsdatum jedoch zunächst auf den 1. Dezember, dann auf den 12. Dezember und 19. Dezember 2023 verschoben, schließlich aber am 16. Januar 2024 bekannt gegeben. Gleichzeitig forderte Microsoft, die Veröffentlichung der Informationen auf Mai zu verschieben.
Source: opennet.ru