Buvo nustatyti devyni UEFI programinės aparatinės įrangos pažeidžiamumai, pagrįsti TianoCore EDK2 atvira platforma, dažniausiai naudojama serverių sistemose, bendrai kodiniu pavadinimu PixieFAIL. Tinklo programinės įrangos, naudojamo tinklo įkrovai (PXE) organizuoti, yra pažeidžiamumų. Pavojingiausios spragos leidžia neautentifikuotam užpuolikui vykdyti nuotolinį kodą programinės įrangos lygiu sistemose, kurios leidžia PXE paleisti IPv9 tinkle.
Dėl ne tokių rimtų problemų atsiranda paslaugų atsisakymas (įkrovos blokavimas), informacijos nutekėjimas, DNS talpyklos apsinuodijimas ir TCP seanso užgrobimas. Daugumą pažeidžiamumų galima išnaudoti iš vietinio tinklo, tačiau kai kurie pažeidžiamumai gali būti užpulti ir iš išorinio tinklo. Įprastas atakos scenarijus apima srauto stebėjimą vietiniame tinkle ir specialiai sukurtų paketų siuntimą, kai aptinkama veikla, susijusi su sistemos paleidimu per PXE. Prieiga prie atsisiuntimo serverio arba DHCP serverio nereikalinga. Siekiant parodyti atakos techniką, buvo paskelbti prototipų išnaudojimai.
UEFI programinė įranga, pagrįsta TianoCore EDK2 platforma, naudojama daugelyje didelių įmonių, debesų tiekėjų, duomenų centrų ir skaičiavimo grupių. Visų pirma, pažeidžiamas NetworkPkg modulis su PXE įkrovos diegimu naudojamas programinėje įrangoje, kurią sukūrė ARM, Insyde Software (Insyde H20 UEFI BIOS), American Megatrends (AMI Aptio OpenEdition), Phoenix Technologies (SecureCore), Intel, Dell ir Microsoft (Project Mu). ). Manoma, kad pažeidžiamumas taip pat turi įtakos „ChromeOS“ platformai, kurios saugykloje yra EDK2 paketas, tačiau „Google“ teigė, kad šis paketas nenaudojamas „Chromebook“ įrenginių programinėje įrangoje ir „ChromeOS“ platformai ši problema nedaro įtakos.
Nustatyti pažeidžiamumai:
- CVE-2023-45230 – buferio perpildymas DHCPv6 kliento kode, išnaudojamas perduodant per ilgą serverio ID (serverio ID parinktis).
- CVE-2023-45234 – Buferio perpildymas įvyksta apdorojant parinktį su DNS serverio parametrais, perduodamais pranešime, pranešančiame apie DHCPv6 serverio buvimą.
- CVE-2023-45235 – Buferio perpildymas apdorojant serverio ID parinktį DHCPv6 tarpinio serverio pranešimų pranešimuose.
- CVE-2023-45229 yra sveikųjų skaičių perteklius, atsirandantis apdorojant IA_NA/IA_TA parinktis DHCPv6 pranešimuose, reklamuojančiuose DHCP serverį.
- CVE-2023-45231 Apdorojant ND peradresavimo (kaimyno aptikimo) pranešimus su sutrumpintomis parinkčių reikšmėmis, įvyksta buferio ribų duomenų nutekėjimas.
- CVE-2023-45232 Analizuojant nežinomas parinktis paskirties vietos parinkčių antraštėje, atsiranda begalinis ciklas.
- CVE-2023-45233 Analizuojant PadN parinktį paketo antraštėje, atsiranda begalinis ciklas.
- CVE-2023-45236 – Nuspėjamų TCP sekos pradinių elementų naudojimas, kad būtų galima susieti TCP ryšį.
- CVE-2023-45237 – nepatikimo pseudoatsitiktinių skaičių generatoriaus, kuris sukuria nuspėjamas vertes, naudojimas.
Pažeidžiamumas CERT/CC buvo pateiktas 3 m. rugpjūčio 2023 d., o atskleidimo data buvo numatyta lapkričio 2 d. Tačiau dėl to, kad reikia suderinto pataisos išleidimo tarp kelių tiekėjų, išleidimo data iš pradžių buvo nukelta į gruodžio 1 d., vėliau nukelta į 12 m. gruodžio 19 d. ir gruodžio 2023 d., bet galiausiai buvo atskleista 16 m. sausio 2024 d. Tuo pat metu „Microsoft“ paprašė atidėti informacijos paskelbimą iki gegužės mėn.
Šaltinis: opennet.ru