I ricercatori di Binarly hanno identificato una serie di vulnerabilità nel codice di analisi delle immagini utilizzato nel firmware UEFI di vari produttori. Le vulnerabilità consentono di ottenere l'esecuzione di codice durante l'avvio inserendo un'immagine appositamente progettata nella sezione ESP (EFI System Partition) o in una parte dell'aggiornamento firmware non firmata digitalmente. Il metodo di attacco proposto può essere utilizzato per aggirare il meccanismo di avvio verificato UEFI Secure Boot e i meccanismi di protezione hardware come Intel Boot Guard, AMD Hardware-Validated Boot e ARM TrustZone Secure Boot.
Il problema è causato dal fatto che il firmware consente di visualizzare i loghi specificati dall'utente e utilizza a questo scopo librerie di analisi delle immagini, che vengono eseguite a livello di firmware senza ripristinare i privilegi. Va notato che il firmware moderno include codice per l'analisi dei formati BMP, GIF, JPEG, PCX e TGA, che contiene vulnerabilità che portano all'overflow del buffer durante l'analisi di dati errati.
Sono state identificate vulnerabilità nel firmware fornito da vari fornitori di hardware (Intel, Acer, Lenovo) e produttori di firmware (AMI, Insyde, Phoenix). Poiché il codice del problema è presente nei componenti di riferimento forniti da fornitori di firmware indipendenti e utilizzati come base da vari produttori di hardware per creare il proprio firmware, le vulnerabilità non sono specifiche del fornitore e interessano l'intero ecosistema.
Si prevede che i dettagli sulle vulnerabilità identificate saranno rivelati il 6 dicembre alla conferenza Black Hat Europe 2023. La presentazione alla conferenza dimostrerà anche un exploit che consente di eseguire il codice con diritti firmware su sistemi con architettura x86 e ARM. Inizialmente, le vulnerabilità sono state identificate durante l'analisi del firmware Lenovo costruito su piattaforme di Insyde, AMI e Phoenix, ma anche i firmware di Intel e Acer sono stati menzionati come potenzialmente vulnerabili.
Fonte: opennet.ru