Si elles sont exploitées, ces failles peuvent permettre aux attaquants d'obtenir un accès non autorisé à des informations sensibles ou de causer des problèmes en général.
Récemment des informations sur une vulnérabilité ont été divulguées (déjà cataloguée sous CVE-2021-33164) détectée dans le firmware UEFI, la faille détectée permet d'exécuter du code au niveau SMM (System Management Mode), qui a une priorité plus élevée que le mode hyperviseur et la protection ring zero, et offre un accès illimité à toute la mémoire système.
La vulnérabilité, dont le nom de code est RingHopper, il est lié à la possibilité d'une attaque temporelle utilisant DMA (Direct Memory Access) pour corrompre la mémoire dans le code exécuté sur la couche SMM.
Une condition de concurrence impliquant l'accès et la validation de la SMRAM peut être obtenue par des attaques de synchronisation DMA qui dépendent des conditions de temps d'utilisation (TOCTOU). Un attaquant peut utiliser une interrogation opportune pour tenter d'écraser le contenu de la SMRAM avec des données arbitraires, ce qui conduit le code de l'attaquant à s'exécuter avec les mêmes privilèges élevés disponibles pour le CPU (c'est-à-dire le mode Ring -2). La nature asynchrone de l'accès à la SMRAM via les contrôleurs DMA permet à un attaquant d'effectuer un tel accès non autorisé et de contourner les vérifications normalement fournies par l'API du contrôleur SMI.
Les technologies Intel-VT et Intel VT-d offrent une certaine protection contre les attaques DMA en utilisant l'unité de gestion de la mémoire d'entrée-sortie (IOMMU) pour faire face aux menaces DMA. Bien que IOMMU puisse protéger contre les attaques DMA matérielles, les contrôleurs SMI vulnérables à RingHopper peuvent toujours être abusés.
Vulnérabilités exploitable depuis le système d'exploitation à l'aide des pilotes SMI vulnérables (Interruption d'administration système), qui nécessitent des droits d'administrateur pour y accéder. L'attaque peut également être fait s'il y a un accès physique à un stade précoce du démarrage, à un stade antérieur à l'initialisation du système d'exploitation. Pour bloquer le problème, il est recommandé aux utilisateurs de Linux de mettre à jour le micrologiciel via le LVFS (Linux Vendor Firmware Service) à l'aide de l'utilitaire fwupdmgr (fwupdmgr get-updates) du package fwupd.
La nécessité d'avoir des droits d'administrateur effectuer une attaque limite le danger du problème, mais cela n'empêche pas son utilisation comme vulnérabilité du deuxième maillon, pour maintenir leur présence après avoir exploité d'autres vulnérabilités du système ou utilisé des méthodes d'ingénierie des médias sociaux.
L'accès au SMM (Ring -2) permet d'exécuter du code à un niveau qui n'est pas contrôlé par le système d'exploitation, qui peut être utilisé pour modifier le micrologiciel et placer du code malveillant ou des rootkits cachés dans SPI Flash qui ne sont pas détectés par le système d'exploitation . , ainsi que pour désactiver la vérification au démarrage (UEFI Secure Boot, Intel BootGuard) et les attaques sur les hyperviseurs pour contourner les mécanismes de vérification d'intégrité des environnements virtuels.
Le problème est dû à une condition de concurrence dans le contrôleur SMI (interruption de gestion du système) qui se produit entre le contrôle d'accès et l'accès à la SMRAM. L'analyse des canaux latéraux avec DMA peut être utilisée pour déterminer le bon moment entre le contrôle d'état et l'utilisation du résultat du contrôle.
Par conséquent, en raison de la nature asynchrone de l'accès à la SMRAM via DMA, un attaquant peut temporiser et écraser le contenu de la SMRAM via DMA, en contournant l'API du pilote SMI.
Les processeurs compatibles Intel-VT et Intel VT-d incluent une protection contre les attaques DMA basée sur l'utilisation d'IOMMU (Input Output Memory Management Unit), mais cette protection est efficace pour bloquer les attaques DMA matérielles effectuées avec des dispositifs d'attaque préparés, et ne protège pas contre attaques via les contrôleurs SMI.
La vulnérabilité a été confirmée dans firmware Logiciels Intel, Dell et Insyde (Le problème affecterait 8 fabricants, mais les 5 autres n'ont pas encore été révélés.) le micrologiciel de AMD, Phoenix et Toshiba ne sont pas concernés par le problème.
source: https://kb.cert.org/