A Binarly kutatói egy sor sebezhetőséget azonosítottak a különböző gyártók UEFI firmware-jében használt képelemző kódban. A sérülékenységek lehetővé teszik a kódfuttatást a rendszerindítás során egy speciálisan kialakított kép elhelyezésével az ESP (EFI System Partition) szakaszban vagy a firmware frissítés digitálisan alá nem írt részében. A javasolt támadási módszer használható az UEFI Secure Boot által ellenőrzött rendszerindítási mechanizmus és a hardvervédelmi mechanizmusok, például az Intel Boot Guard, az AMD Hardware-Validated Boot és az ARM TrustZone Secure Boot megkerülésére.
A problémát az okozza, hogy a firmware lehetővé teszi a felhasználó által megadott logók megjelenítését, és ehhez képelemző könyvtárakat használ, amelyek firmware szinten futnak le a jogosultságok visszaállítása nélkül. Meg kell jegyezni, hogy a modern firmware tartalmaz egy kódot a BMP, GIF, JPEG, PCX és TGA formátumok elemzéséhez, amely olyan sebezhetőségeket tartalmaz, amelyek a puffer túlcsordulásához vezetnek helytelen adatok elemzésekor.
A különféle hardverszállítók (Intel, Acer, Lenovo) és firmware-gyártók (AMI, Insyde, Phoenix) által szállított firmware-ben sérülékenységet azonosítottak. Mivel a problémakód megtalálható a független firmware-gyártók által biztosított referenciaösszetevőkben, és a különböző hardvergyártók alapjaként használják fel firmware-jüket, a sérülékenységek nem gyártóspecifikusak, és az egész ökoszisztémát érintik.
A beazonosított sebezhetőség részleteit az ígéretek szerint december 6-án a Black Hat Europe 2023 konferencián fedik fel. A konferencián elhangzott előadás egy olyan exploitot is bemutat, amely lehetővé teszi, hogy a kódot firmware-jogosultsággal hajtsa végre x86-os és ARM architektúrájú rendszereken. Kezdetben az Insyde, AMI és Phoenix platformokra épített Lenovo firmware elemzése során azonosították a sérülékenységeket, de az Intel és az Acer firmware-je is szóba került, mint potenciálisan sebezhető.
Forrás: opennet.ru