ProHoster > Блог > wararka internetka > Nuglaanta ku jirta firmware UEFI oo ku saleysan qaab dhismeedka InsydeH2O, oo u oggolaanaya fulinta code ee heerka SMM

Nuglaanta ku jirta firmware UEFI oo ku saleysan qaab dhismeedka InsydeH2O, oo u oggolaanaya fulinta code ee heerka SMM

Qaab dhismeedka InsydeH2O, oo ay adeegsadaan shirkado badan si ay u abuuraan UEFI firmware qalabkooda (fulinta ugu badan ee UEFI BIOS), 23 dayacan ayaa la aqoonsaday kuwaas oo u oggolaanaya koodhka in lagu fuliyo heerka SMM (System Management Mode), kaas oo leh a mudnaanta sare (Ring -2) marka loo eego qaabka hypervisor iyo eber ilaalinta, iyo helitaanka aan xadidneyn ee dhammaan xusuusta. Arrintu waxay saamaysaa firmware-ka UEFI ee ay adeegsadaan soosaarayaasha sida Fujitsu, Siemens, Dell, HP, HPE, Lenovo, Microsoft, Intel iyo Bull Atos.

Ka faa'iidaysiga dayacanka waxay u baahan tahay helitaanka maxalli ah ee xuquuqda maamulka, taas oo ka dhigaysa arrimaha caanka ah sida nuglaanta heerka labaad, oo la isticmaalo ka dib ka faa'iidaysiga dayacanka kale ee nidaamka ama isticmaalka hababka injineernimada bulshada. Helitaanka heerka SMM wuxuu kuu ogolaanayaa inaad fuliso koodka heer uusan maamulin nidaamka hawlgalka, kaas oo loo isticmaali karo in lagu beddelo firmware oo laga tago kood xaasidnimo qarsoon ama rootkits gudaha SPI Flash oo aan la ogaan nidaamka hawlgalka, iyo sidoo kale si loo joojiyo xaqiijinta marxaladda boot-ka (UEFI Secure Boot, Intel BootGuard) iyo weerarrada lagu qaado hypervisors si looga gudbo hababka lagu hubinayo hufnaanta jawiyada casriga ah.

Nuglaanta ku jirta firmware UEFI oo ku saleysan qaab dhismeedka InsydeH2O, oo u oggolaanaya fulinta code ee heerka SMM

Ka faa'iidaysiga dayacanka waxaa lagu fulin karaa nidaamka qalliinka iyadoo la adeegsanayo SMI aan la xaqiijin (System Management Interrupt), iyo sidoo kale marxaladda hore ee fulinta nidaamka qalliinka inta lagu jiro marxaladaha hore ee booting ama ka soo noqoshada habka hurdada. Dhammaan baylahda waxaa keena dhibaatooyinka xusuusta waxaana loo qaybiyaa saddex qaybood:

  • SMM Callout - fulinta koodhkaaga xuquuqaha SMM iyadoo dib u hagaya fulinta hawl wadeenada SWSMI si ay u koodka uga dhigaan meel ka baxsan SMRAM;
  • Musuqmaasuqa xusuusta ee u oggolaanaya qofka weerarka geystay inuu xogtiisa u qoro SMRAM, oo ah meel xusuusta gaar ah oo go'doonsan oo koodka lagu fuliyo xuquuqda SMM.
  • Musuqmaasuqa xusuusta ee koodhka ku socda heerka DXE (Driver eXecution Environment).

Si loo muujiyo mabaadi'da abaabulka weerarka, tusaale ka faa'iidaysi ayaa la daabacay, kaas oo u oggolaanaya, iyada oo loo marayo weerarka ka imanaya giraanta saddexaad ama eber ilaalinta, si aad u gasho DXE Runtime UEFI oo aad fuliso koodkaaga. Ka faa'iidaysigu wuxuu maamulaa qulqulka xad dhaafka ah (CVE-2021-42059) ee darawalka UEFI DXE. Inta lagu jiro weerarka, weeraryahanku wuxuu gelin karaa koodkiisa darawalka DXE, kaas oo sii shaqeynaya ka dib marka nidaamka qalliinka dib loo bilaabo, ama wuxuu isbeddel ku sameeyaa aagga NVRAM ee Flash SPI. Inta lagu jiro fulinta, koodka weerarku waxa uu isbeddel ku samayn karaa aagagga xusuusta mudnaanta leh, wax ka beddelaya adeegyada EFI Runtime, oo saameeya habka bootinta.

Source: opennet.ru

Add a comment