Natukoy ang siyam na kahinaan sa firmware ng UEFI batay sa bukas na platform ng TianoCore EDK2, na karaniwang ginagamit sa mga system ng server, na pinagsama-samang naka-codenamed na PixieFAIL. Ang mga kahinaan ay naroroon sa network firmware stack na ginamit upang ayusin ang network boot (PXE). Ang pinaka-mapanganib na mga kahinaan ay nagbibigay-daan sa isang hindi napatotohanan na umaatake na magsagawa ng malayuang code sa antas ng firmware sa mga system na nagpapahintulot sa PXE na mag-boot sa isang IPv9 network.
Ang mga hindi gaanong malalang problema ay nagreresulta sa pagtanggi sa serbisyo (pag-block ng boot), pagtagas ng impormasyon, pagkalason sa cache ng DNS, at pag-hijack ng session ng TCP. Karamihan sa mga kahinaan ay maaaring samantalahin mula sa lokal na network, ngunit ang ilang mga kahinaan ay maaari ding atakehin mula sa isang panlabas na network. Ang isang tipikal na senaryo ng pag-atake ay nagmumula sa pagsubaybay sa trapiko sa isang lokal na network at pagpapadala ng mga espesyal na idinisenyong packet kapag ang aktibidad na nauugnay sa pag-boot ng system sa pamamagitan ng PXE ay nakita. Hindi kinakailangan ang access sa download server o DHCP server. Upang ipakita ang diskarte sa pag-atake, ang mga pagsasamantala ng prototype ay nai-publish.
Ang UEFI firmware batay sa TianoCore EDK2 platform ay ginagamit sa maraming malalaking kumpanya, cloud provider, data center at computing cluster. Sa partikular, ang mahina na NetworkPkg module na may pagpapatupad ng PXE boot ay ginagamit sa firmware na binuo ng ARM, Insyde Software (Insyde H20 UEFI BIOS), American Megatrends (AMI Aptio OpenEdition), Phoenix Technologies (SecureCore), Intel, Dell at Microsoft (Project Mu ). Ang mga kahinaan ay pinaniniwalaan din na makakaapekto sa ChromeOS platform, na mayroong EDK2 package sa repository, ngunit sinabi ng Google na ang package na ito ay hindi ginagamit sa firmware para sa Chromebooks at ang ChromeOS platform ay hindi apektado ng problema.
Natukoy na mga kahinaan:
- CVE-2023-45230 - Isang buffer overflow sa DHCPv6 client code, na pinagsamantalahan sa pamamagitan ng pagpasa ng masyadong mahaba ng server ID (Server ID option).
- CVE-2023-45234 - Nagaganap ang buffer overflow kapag nagpoproseso ng opsyon na may mga parameter ng DNS server na ipinasa sa isang mensaheng nag-aanunsyo ng pagkakaroon ng DHCPv6 server.
- CVE-2023-45235 - Buffer overflow kapag pinoproseso ang opsyon ng Server ID sa DHCPv6 proxy announcement messages.
- Ang CVE-2023-45229 ay isang integer underflow na nangyayari habang pinoproseso ang mga opsyon ng IA_NA/IA_TA sa mga mensahe ng DHCPv6 na nag-a-advertise ng DHCP server.
- CVE-2023-45231 Nangyayari ang out-of-buffer data leak kapag pinoproseso ang mga mensahe ng ND Redirect (Neighbor Discovery) na may mga pinutol na value ng opsyon.
- CVE-2023-45232 Ang isang walang katapusang loop ay nangyayari kapag nag-parse ng mga hindi kilalang opsyon sa header ng Mga Opsyon sa Patutunguhan.
- CVE-2023-45233 Ang isang walang katapusang loop ay nangyayari kapag nag-parse ng opsyong PadN sa packet header.
- CVE-2023-45236 - Paggamit ng predictable TCP sequence seeds para payagan ang TCP connection wedging.
- CVE-2023-45237 β Paggamit ng hindi mapagkakatiwalaang pseudo-random number generator na gumagawa ng mga predictable na halaga.
Ang mga kahinaan ay isinumite sa CERT/CC noong Agosto 3, 2023, at ang petsa ng paghahayag ay naka-iskedyul para sa Nobyembre 2. Gayunpaman, dahil sa pangangailangan para sa isang coordinated na release ng patch sa maraming vendor, ang petsa ng release ay unang itinulak pabalik sa Disyembre 1, pagkatapos ay itinulak pabalik sa Disyembre 12 at Disyembre 19, 2023, ngunit sa huli ay nahayag noong Enero 16, 2024. Kasabay nito, hiniling ng Microsoft na ipagpaliban ang paglalathala ng impormasyon hanggang Mayo.
Pinagmulan: opennet.ru