InsydeH2O framework တွင်၊ ထုတ်လုပ်သူအများအပြားက ၎င်းတို့၏စက်ပစ္စည်း (UEFI BIOS ၏ အသုံးအများဆုံး အကောင်အထည်ဖော်မှု) အတွက် UEFI firmware ကိုဖန်တီးရန်အသုံးပြုသည့် InsydeH23O framework တွင် SMM (System Management Mode) အဆင့်တွင် ကုဒ်ကိုလုပ်ဆောင်နိုင်စေသည့် အားနည်းချက် 2 ခုကို ရှာဖွေတွေ့ရှိခဲ့ပြီး၊ hypervisor မုဒ်ထက် ဦးစားပေးမှု (Ring -XNUMX) နှင့် အကာအကွယ် သုညလက်စွပ်ထက် ပိုမိုမြင့်မားပြီး မမ်မိုရီအားလုံးသို့ အကန့်အသတ်မရှိ ဝင်ရောက်နိုင်သည်။ Fujitsu၊ Siemens၊ Dell၊ HP၊ HPE၊ Lenovo၊ Microsoft၊ Intel နှင့် Bull Atos ကဲ့သို့သော ထုတ်လုပ်သူများ အသုံးပြုသည့် UEFI Firmware သည် ပြဿနာအပေါ် သက်ရောက်မှုရှိပါသည်။
အားနည်းချက်များကို အသုံးချခြင်းသည် စီမံခန့်ခွဲသူအခွင့်အရေးများနှင့်အတူ ဒေသန္တရဝင်ရောက်ခွင့် လိုအပ်ပြီး ယင်းပြဿနာများကို ဒုတိယအဆင့် အားနည်းချက်များအဖြစ် ရေပန်းစားလာစေရန်၊ စနစ်အတွင်းရှိ အခြားအားနည်းချက်များကို အသုံးချပြီးနောက် သို့မဟုတ် လူမှုအင်ဂျင်နီယာနည်းလမ်းများကို အသုံးပြုခြင်းတွင် အသုံးပြုသည့် ပြဿနာများကို လူကြိုက်များစေသည်။ SMM အဆင့်တွင်ဝင်ရောက်ခွင့်သည် သင့်အား လည်ပတ်မှုစနစ်မှမထိန်းချုပ်နိုင်သောအဆင့်တွင် ကုဒ်ကိုလုပ်ဆောင်နိုင်စေသည်၊ ၎င်းသည် firmware ကိုမွမ်းမံပြင်ဆင်ရန်နှင့် လည်ပတ်မှုစနစ်မှရှာဖွေတွေ့ရှိခြင်းမရှိသည့် SPI Flash တွင်ဝှက်ထားသောအန္တရာယ်ရှိသောကုဒ်များ သို့မဟုတ် rootkits များကိုချန်ထားခဲ့နိုင်သည်၊ boot အဆင့်တွင် အတည်ပြုခြင်းကို ပိတ်ရန် (UEFI Secure Boot၊ Intel BootGuard) နှင့် virtual ပတ်၀န်းကျင်များ၏ ခိုင်မာမှုကို စစ်ဆေးရန်အတွက် ယန္တရားများကို ကျော်လွှားရန် hypervisors များကို တိုက်ခိုက်ခြင်းများ။
အတည်မပြုရသေးသော SMI (System Management Interrupt) ကိုင်တွယ်ဖြေရှင်းသည့် ကိရိယာများကို အသုံးပြု၍ လည်ပတ်မှုစနစ်၏ အားနည်းချက်များကို အသုံးချခြင်းအား စတင်ခြင်း သို့မဟုတ် အိပ်စက်ခြင်းမုဒ်မှ ပြန်စသည့် ကနဦးအဆင့်များအတွင်း လည်ပတ်မှုစနစ်၏ အကြိုလုပ်ဆောင်မှုအဆင့်တွင် လုပ်ဆောင်နိုင်သည်။ အားနည်းချက်များအားလုံးသည် မှတ်ဉာဏ်ပြဿနာများကြောင့်ဖြစ်ပြီး အမျိုးအစားသုံးမျိုးခွဲခြားထားသည်။
- SMM Callout - SMRAM ပြင်ပကုဒ်သို့ SWSMI ကြားဖြတ်ကိုင်တွယ်သူများကို ပြန်လည်ညွှန်းပေးခြင်းဖြင့် သင့်ကုဒ်ကို SMM အခွင့်အရေးများဖြင့် လုပ်ဆောင်ခြင်း
- ကုဒ်ကို SMM အခွင့်အရေးဖြင့် လုပ်ဆောင်သည့် အထူး သီးခြားမှတ်ဉာဏ်ဧရိယာ SMRAM တွင် တိုက်ခိုက်သူတစ်ဦးမှ ၎င်းတို့၏ဒေတာများကို ရေးသားခွင့်ပြုသည့် မမ်မိုရီယိုယွင်းမှု။
- DXE (Driver eXecution Environment) အဆင့်တွင် လုပ်ဆောင်နေသော ကုဒ်တွင် မမ်မိုရီယိုယွင်းမှု။
တိုက်ခိုက်မှုတစ်ခုစီစဉ်ခြင်း၏ အခြေခံမူများကို သရုပ်ပြရန်၊ အသုံးချမှုတစ်ခု၏နမူနာတစ်ခုကို ထုတ်ဝေခဲ့ပြီး၊ ၎င်းသည် DXE Runtime UEFI သို့ဝင်ရောက်ခွင့်ရပြီး သင့်ကုဒ်ကိုလုပ်ဆောင်ရန် ခွင့်ပြုပေးပါသည်။ exploit သည် UEFI DXE ဒရိုက်ဗာတွင် stack overflow (CVE-2021-42059) ကို စီမံခန့်ခွဲသည်။ တိုက်ခိုက်မှုအတွင်း၊ တိုက်ခိုက်သူသည် လည်ပတ်မှုစနစ်ကို ပြန်လည်စတင်ပြီးနောက် တက်ကြွနေဆဲဖြစ်သော DXE ဒရိုက်ဗာတွင် ၎င်း၏ကုဒ်ကို ထားရှိနိုင်သည် သို့မဟုတ် SPI Flash ၏ NVRAM ဧရိယာကို အပြောင်းအလဲပြုလုပ်နိုင်သည်။ လုပ်ဆောင်နေစဉ်အတွင်း၊ တိုက်ခိုက်သူကုဒ်သည် အခွင့်ထူးခံမှတ်ဉာဏ်နေရာများသို့ အပြောင်းအလဲများ ပြုလုပ်နိုင်ပြီး EFI Runtime ဝန်ဆောင်မှုများကို မွမ်းမံပြင်ဆင်ကာ boot လုပ်ငန်းစဉ်ကို အကျိုးသက်ရောက်စေနိုင်သည်။
source: opennet.ru