Yn it ramt InsydeH2O, brûkt troch in protte fabrikanten om UEFI-firmware te meitsjen foar har apparatuer (de meast foarkommende ymplemintaasje fan UEFI BIOS), binne 23 kwetsberens identifisearre dy't koade útfiere kinne op it nivo fan SMM (System Management Mode), dat hat in hegere prioriteit (Ring -2) as de hypervisor modus en in nul ring fan beskerming, en it hawwen fan ûnbeheinde tagong ta alle ûnthâld. It probleem hat ynfloed op UEFI-firmware brûkt troch fabrikanten lykas Fujitsu, Siemens, Dell, HP, HPE, Lenovo, Microsoft, Intel en Bull Atos.
Eksploitaasje fan kwetsberens fereasket lokale tagong mei administratorrjochten, wat de problemen populêr makket as twadde-tier kwetsberens, brûkt nei eksploitaasje fan oare kwetsberens yn it systeem of it brûken fan sosjale yngenieurmetoaden. Tagong op it SMM-nivo lit jo koade útfiere op in nivo net kontroleare troch it bestjoeringssysteem, dat kin wurde brûkt om firmware te wizigjen en ferburgen kweade koade of rootkits yn 'e SPI Flash te litten dy't net wurde ûntdutsen troch it bestjoeringssysteem, lykas om ferifikaasje út te skeakeljen by it opstartstadium (UEFI Secure Boot , Intel BootGuard) en oanfallen op hypervisors om meganismen te omgean foar it kontrolearjen fan de yntegriteit fan firtuele omjouwings.
Eksploitaasje fan kwetsberens kin wurde útfierd fanút it bestjoeringssysteem mei net ferifiearre SMI (System Management Interrupt) handlers, lykas ek yn 'e pre-útfiering fan it bestjoeringssysteem yn' e earste fazen fan opstarten of weromkommen út sliepmodus. Alle kwetsberens wurde feroarsake troch ûnthâldproblemen en binne ferdield yn trije kategoryen:
- SMM Callout - útfiering fan jo koade mei SMM rjochten troch trochferwizing de útfiering fan SWSMI interrupt handlers nei koade bûten SMRAM;
- Unthâld korrupsje wêrmei in oanfaller te skriuwen harren gegevens oan SMRAM, in spesjale isolearre ûnthâld gebiet dêr't koade wurdt útfierd mei SMM rjochten.
- Unthâldkorrupsje yn koade dy't rint op it DXE-nivo (Driver eXecution Environment).
Om de prinsipes fan it organisearjen fan in oanfal te demonstrearjen, is in foarbyld fan in eksploitaasje publisearre, wêrtroch, troch in oanfal fan 'e tredde of nulring fan beskerming, tagong te krijen ta de DXE Runtime UEFI en jo koade út te fieren. De eksploitaasje manipulearret in stackoverflow (CVE-2021-42059) yn 'e UEFI DXE-bestjoerder. Tidens de oanfal kin de oanfaller syn koade pleatse yn 'e DXE-bestjoerder, dy't aktyf bliuwt nei't it bestjoeringssysteem opnij is starte, of wizigingen meitsje yn it NVRAM-gebiet fan' e SPI Flash. Tidens de útfiering kin oanfallerskoade wizigingen oanmeitsje oan befoarrjochte ûnthâldgebieten, EFI Runtime-tsjinsten wizigje en it opstartproses beynfloedzje.
Boarne: opennet.ru