Los investigadores de Binarly han identificado una serie de vulnerabilidades en el código de análisis de imágenes utilizado en el firmware UEFI de varios fabricantes. Las vulnerabilidades permiten lograr la ejecución del código durante el arranque colocando una imagen especialmente diseñada en la sección ESP (EFI System Partition) o en una parte de la actualización del firmware que no está firmada digitalmente. El método de ataque propuesto se puede utilizar para eludir el mecanismo de arranque verificado UEFI Secure Boot y los mecanismos de protección de hardware como Intel Boot Guard, AMD Hardware-Validated Boot y ARM TrustZone Secure Boot.
El problema se debe al hecho de que el firmware le permite mostrar logotipos especificados por el usuario y utiliza para ello bibliotecas de análisis de imágenes, que se ejecutan en el nivel del firmware sin restablecer privilegios. Cabe señalar que el firmware moderno incluye código para analizar los formatos BMP, GIF, JPEG, PCX y TGA, que contiene vulnerabilidades que provocan un desbordamiento del búfer al analizar datos incorrectos.
Se han identificado vulnerabilidades en el firmware suministrado por varios proveedores de hardware (Intel, Acer, Lenovo) y fabricantes de firmware (AMI, Insyde, Phoenix). Debido a que el código del problema está presente en los componentes de referencia proporcionados por proveedores de firmware independientes y se utiliza como base para que varios fabricantes de hardware creen su firmware, las vulnerabilidades no son específicas del proveedor y afectan a todo el ecosistema.
Se promete que los detalles sobre las vulnerabilidades identificadas se revelarán el 6 de diciembre en la conferencia Black Hat Europe 2023. La presentación en la conferencia también demostrará un exploit que le permite ejecutar su código con derechos de firmware en sistemas con arquitectura x86 y ARM. Inicialmente, las vulnerabilidades se identificaron durante el análisis del firmware de Lenovo construido en plataformas de Insyde, AMI y Phoenix, pero también se mencionaron firmware de Intel y Acer como potencialmente vulnerables.
Fuente: opennet.ru