פגיעויות בקושחה UEFI המבוססת על מסגרת InsydeH2O, המאפשרת ביצוע קוד ברמת SMM

במסגרת InsydeH2O, המשמשת יצרנים רבים ליצירת קושחת UEFI עבור הציוד שלהם (היישום הנפוץ ביותר של UEFI BIOS), זוהו 23 נקודות תורפה המאפשרות ביצוע קוד ברמת SMM (מצב ניהול מערכת), הכוללת עדיפות גבוהה יותר (צלצול -2) ממצב ה-Hypervisor וטבעת אפס של הגנה, ובעלת גישה בלתי מוגבלת לכל הזיכרון. הבעיה משפיעה על קושחת UEFI המשמשת יצרנים כמו Fujitsu, Siemens, Dell, HP, HPE, Lenovo, Microsoft, Intel ו-Bull Atos.

ניצול נקודות תורפה מחייב גישה מקומית עם זכויות מנהל, מה שהופך את הנושאים לפופולריים כנקודות תורפה מהדרג השני, בשימוש לאחר ניצול נקודות תורפה אחרות במערכת או שימוש בשיטות הנדסה חברתית. גישה ברמת SMM מאפשרת לך לבצע קוד ברמה שאינה נשלטת על ידי מערכת ההפעלה, אשר ניתן להשתמש בו כדי לשנות קושחה ולהשאיר קוד זדוני או rootkits מוסתרים ב-SPI Flash שאינם מזוהים על ידי מערכת ההפעלה, כמו גם לנטרל אימות בשלב האתחול (UEFI Secure Boot , Intel BootGuard) והתקפות על היפרוויזורים כדי לעקוף מנגנונים לבדיקת תקינותן של סביבות וירטואליות.

ניצול נקודות תורפה יכול להתבצע ממערכת ההפעלה באמצעות מטפלי SMI (מערכת ניהול פסיקה) לא מאומתים, וכן בשלב הביצוע מראש של מערכת ההפעלה בשלבים הראשונים של האתחול או חזרה ממצב שינה. כל הפגיעות נגרמות מבעיות זיכרון ומחולקות לשלוש קטגוריות:

• SMM Callout - ביצוע הקוד שלך עם זכויות SMM על ידי הפניית הביצוע של מטפלי פסיקות SWSMI לקוד מחוץ ל-SMRAM;
• השחתת זיכרון המאפשרת לתוקף לכתוב את הנתונים שלו ל-SMRAM, אזור זיכרון מבודד מיוחד בו מבוצע קוד עם זכויות SMM.
• פגיעה בזיכרון בקוד הפועל ברמת DXE (Driver eXecution Environment).

כדי להדגים את העקרונות של ארגון התקפה, פורסמה דוגמה לניצול, המאפשר, באמצעות התקפה מטבעת ההגנה השלישית או האפסית, לקבל גישה ל-DXE Runtime UEFI ולהפעיל את הקוד שלך. הניצול מפעיל מניפולציות על הצפת מחסנית (CVE-2021-42059) במנהל ההתקן של UEFI DXE. במהלך ההתקפה, התוקף יכול למקם את הקוד שלו במנהל ההתקן DXE, שנשאר פעיל לאחר הפעלה מחדש של מערכת ההפעלה, או לבצע שינויים באזור ה-NVRAM של ה-SPI Flash. במהלך הביצוע, קוד התוקף יכול לבצע שינויים באזורי זיכרון מועדפים, לשנות שירותי EFI Runtime ולהשפיע על תהליך האתחול.

מקור: OpenNet.ru