Badacze z Binarly zidentyfikowali szereg luk w kodzie analizującym obrazy stosowanym w oprogramowaniu UEFI różnych producentów. Luki umożliwiają wykonanie kodu podczas rozruchu systemu poprzez umieszczenie specjalnie zaprojektowanego obrazu w sekcji ESP (partycja systemowa EFI) lub w części aktualizacji oprogramowania sprzętowego, która nie jest podpisana cyfrowo. Proponowaną metodę ataku można wykorzystać do ominięcia mechanizmu rozruchowego zweryfikowanego przez UEFI Secure Boot i mechanizmów ochrony sprzętu, takich jak Intel Boot Guard, AMD Hardware-Validated Boot i ARM TrustZone Secure Boot.
Problem wynika z faktu, że oprogramowanie pozwala na wyświetlanie logo określonych przez użytkownika i wykorzystuje do tego biblioteki analizujące obrazy, które są wykonywane na poziomie oprogramowania bez resetowania uprawnień. Należy zauważyć, że nowoczesne oprogramowanie układowe zawiera kod do analizowania formatów BMP, GIF, JPEG, PCX i TGA, który zawiera luki prowadzące do przepełnienia bufora podczas analizowania nieprawidłowych danych.
W oprogramowaniu sprzętowym dostarczanym przez różnych dostawców sprzętu (Intel, Acer, Lenovo) i producentów oprogramowania sprzętowego (AMI, Insyde, Phoenix) wykryto luki. Ponieważ kod problemu znajduje się w komponentach referencyjnych dostarczonych przez niezależnych dostawców oprogramowania sprzętowego i stanowi podstawę dla różnych producentów sprzętu do tworzenia oprogramowania sprzętowego, luki te nie są specyficzne dla dostawcy i wpływają na cały ekosystem.
Szczegóły dotyczące zidentyfikowanych luk zostaną ujawnione 6 grudnia podczas konferencji Black Hat Europe 2023. Prezentacja na konferencji zaprezentuje również exploita, który umożliwia wykonanie kodu z uprawnieniami oprogramowania sprzętowego na systemach z architekturą x86 i ARM. Początkowo luki zostały zidentyfikowane podczas analizy oprogramowania sprzętowego Lenovo zbudowanego na platformach firm Insyde, AMI i Phoenix, ale jako potencjalnie podatne wymieniono również oprogramowanie firm Intel i Acer.
Źródło: opennet.ru