多くのメーカーが自社の機器用の UEFI ファームウェア (UEFI BIOS の最も一般的な実装) を作成するために使用している InsydeH2O フレームワークで、SMM (システム管理モード) レベルでのコードの実行を可能にする 23 件の脆弱性が確認されました。ハイパーバイザー モードよりも優先度が高く (リング -2)、保護リングがゼロで、すべてのメモリに無制限にアクセスできます。 この問題は、富士通、シーメンス、デル、HP、HPE、Lenovo、Microsoft、Intel、Bull Atos などのメーカーが使用する UEFI ファームウェアに影響します。
脆弱性の悪用には管理者権限によるローカル アクセスが必要であるため、この問題はシステム内の他の脆弱性の悪用やソーシャル エンジニアリング手法の使用後に使用される第 XNUMX 層の脆弱性として人気があります。 SMM レベルでのアクセスにより、オペレーティング システムによって制御されないレベルでコードを実行できます。これを使用して、ファームウェアを変更し、オペレーティング システムによって検出されない隠し悪意のあるコードやルートキットを SPI フラッシュに残すことができます。ブート段階での検証 (UEFI セキュア ブート、Intel BootGuard) を無効にし、仮想環境の整合性をチェックするメカニズムをバイパスするハイパーバイザーへの攻撃を無効にします。
脆弱性の悪用は、未検証の SMI (システム管理割り込み) ハンドラーを使用してオペレーティング システムから実行されるほか、起動またはスリープ モードからの復帰の初期段階におけるオペレーティング システムの実行前段階でも実行される可能性があります。 すべての脆弱性はメモリの問題によって引き起こされ、次の XNUMX つのカテゴリに分類されます。
- SMM コールアウト - SWSMI 割り込みハンドラーの実行を SMRAM 外部のコードにリダイレクトすることにより、SMM 権限でコードを実行します。
- メモリ破損により、攻撃者は SMRAM にデータを書き込むことができます。SMRAM は、SMM 権限でコードが実行される特別な隔離されたメモリ領域です。
- DXE (ドライバー実行環境) レベルで実行されているコードでのメモリ破損。
攻撃を組織化する原理を示すために、エクスプロイトの例が公開されました。これにより、保護の 2021 番目またはゼロ リングからの攻撃を通じて、DXE ランタイム UEFI にアクセスしてコードを実行できます。 このエクスプロイトは、UEFI DXE ドライバーのスタック オーバーフロー (CVE-42059-XNUMX) を操作します。 攻撃中、攻撃者は、オペレーティング システムの再起動後もアクティブなままになる DXE ドライバーにコードを配置したり、SPI フラッシュの NVRAM 領域に変更を加えたりする可能性があります。 攻撃者のコードは実行中に、特権メモリ領域に変更を加えたり、EFI ランタイム サービスを変更したり、ブート プロセスに影響を与えたりする可能性があります。
出所: オープンネット.ru