Onderzoekers van Binarly hebben een reeks kwetsbaarheden geïdentificeerd in de beeldparseringscode die wordt gebruikt in UEFI-firmware van verschillende fabrikanten. Door de kwetsbaarheden kan code tijdens het opstarten worden uitgevoerd door een speciaal ontworpen afbeelding in de ESP-sectie (EFI System Partition) of in een deel van de firmware-update te plaatsen dat niet digitaal is ondertekend. De voorgestelde aanvalsmethode kan worden gebruikt om het door UEFI Secure Boot geverifieerde opstartmechanisme en hardwarebeschermingsmechanismen zoals Intel Boot Guard, AMD Hardware-Validated Boot en ARM TrustZone Secure Boot te omzeilen.
Het probleem wordt veroorzaakt door het feit dat de firmware u in staat stelt door de gebruiker opgegeven logo's weer te geven en hiervoor beeldparsingbibliotheken gebruikt, die op firmwareniveau worden uitgevoerd zonder de rechten opnieuw in te stellen. Opgemerkt wordt dat moderne firmware code bevat voor het parseren van BMP-, GIF-, JPEG-, PCX- en TGA-formaten, die kwetsbaarheden bevat die leiden tot bufferoverflow bij het parseren van onjuiste gegevens.
Er zijn kwetsbaarheden geïdentificeerd in firmware die wordt geleverd door verschillende hardwareleveranciers (Intel, Acer, Lenovo) en firmwarefabrikanten (AMI, Insyde, Phoenix). Omdat de probleemcode aanwezig is in de referentiecomponenten die worden geleverd door onafhankelijke firmwareleveranciers en worden gebruikt als basis voor verschillende hardwarefabrikanten om hun firmware te bouwen, zijn de kwetsbaarheden niet leverancierspecifiek en hebben ze invloed op het hele ecosysteem.
Details over de geïdentificeerde kwetsbaarheden zullen naar verwachting op 6 december worden onthuld tijdens de conferentie Black Hat Europe 2023. De presentatie op de conferentie zal ook een exploit demonstreren waarmee je je code met firmwarerechten kunt uitvoeren op systemen met x86- en ARM-architectuur. In eerste instantie werden de kwetsbaarheden geïdentificeerd tijdens de analyse van Lenovo-firmware gebouwd op platforms van Insyde, AMI en Phoenix, maar ook firmware van Intel en Acer werden als potentieel kwetsbaar genoemd.
Bron: opennet.ru