Os investigadores de Binarly identificaron unha serie de vulnerabilidades no código de análise de imaxes usado no firmware UEFI de varios fabricantes. As vulnerabilidades permiten lograr a execución de código durante o arranque colocando unha imaxe especialmente deseñada na sección ESP (EFI System Partition) ou nunha parte da actualización de firmware que non está asinada dixitalmente. O método de ataque proposto pódese usar para evitar o mecanismo de arranque verificado de UEFI Secure Boot e os mecanismos de protección de hardware como Intel Boot Guard, AMD Hardware-Validated Boot e ARM TrustZone Secure Boot.
O problema é causado polo feito de que o firmware permite mostrar logotipos especificados polo usuario e usa bibliotecas de análise de imaxes para iso, que se executan a nivel de firmware sen restablecer privilexios. Nótese que o firmware moderno inclúe código para analizar formatos BMP, GIF, JPEG, PCX e TGA, que contén vulnerabilidades que provocan un desbordamento do búfer ao analizar datos incorrectos.
Identificáronse vulnerabilidades no firmware subministrado por varios provedores de hardware (Intel, Acer, Lenovo) e fabricantes de firmware (AMI, Insyde, Phoenix). Dado que o código do problema está presente nos compoñentes de referencia proporcionados por provedores de firmware independentes e usado como base para que varios fabricantes de hardware creen o seu firmware, as vulnerabilidades non son específicas do provedor e afectan a todo o ecosistema.
Os detalles sobre as vulnerabilidades identificadas prometeranse revelar o 6 de decembro na conferencia Black Hat Europe 2023. A presentación na conferencia tamén demostrará un exploit que lle permite executar o seu código con dereitos de firmware en sistemas con arquitectura x86 e ARM. Inicialmente, as vulnerabilidades identificáronse durante a análise do firmware de Lenovo construído en plataformas de Insyde, AMI e Phoenix, pero tamén se mencionou o firmware de Intel e Acer como potencialmente vulnerable.
Fonte: opennet.ru