Pesquisadores da Binarly identificaram uma série de vulnerabilidades no código de análise de imagem usado no firmware UEFI de vários fabricantes. As vulnerabilidades permitem a execução de código durante a inicialização, colocando uma imagem especialmente projetada na seção ESP (EFI System Partition) ou em uma parte da atualização do firmware que não é assinada digitalmente. O método de ataque proposto pode ser usado para ignorar o mecanismo de inicialização verificado UEFI Secure Boot e mecanismos de proteção de hardware, como Intel Boot Guard, AMD Hardware-Validated Boot e ARM TrustZone Secure Boot.
O problema é causado pelo fato de o firmware permitir exibir logotipos especificados pelo usuário e usar bibliotecas de análise de imagens para isso, que são executadas no nível do firmware sem redefinir privilégios. Observa-se que o firmware moderno inclui código para análise dos formatos BMP, GIF, JPEG, PCX e TGA, que contém vulnerabilidades que levam ao buffer overflow ao analisar dados incorretos.
Vulnerabilidades foram identificadas em firmware fornecido por vários fornecedores de hardware (Intel, Acer, Lenovo) e fabricantes de firmware (AMI, Insyde, Phoenix). Como o código do problema está presente nos componentes de referência fornecidos por fornecedores de firmware independentes e usados como base para vários fabricantes de hardware construírem seu firmware, as vulnerabilidades não são específicas do fornecedor e afetam todo o ecossistema.
Os detalhes sobre as vulnerabilidades identificadas serão revelados no dia 6 de dezembro na conferência Black Hat Europe 2023. A apresentação na conferência também demonstrará um exploit que permite executar seu código com direitos de firmware em sistemas com arquitetura x86 e ARM. Inicialmente, as vulnerabilidades foram identificadas durante a análise do firmware da Lenovo construído nas plataformas Insyde, AMI e Phoenix, mas firmware da Intel e Acer também foram mencionados como potencialmente vulneráveis.
Fonte: opennet.ru