Se sfruttati, questi difetti possono consentire agli aggressori di ottenere l'accesso non autorizzato a informazioni riservate o, in generale, causare problemi
recentemente sono state divulgate informazioni su una vulnerabilità (già catalogato in CVE-2021-33164) rilevato nel firmware UEFI, il difetto rilevato consente di eseguire codice a livello SMM (System Management Mode), che ha una priorità maggiore rispetto alla modalità hypervisor e all'anello di protezione zero, e fornisce accesso illimitato a tutta la memoria di sistema.
La vulnerabilità, di cui il nome in codice è RingHopper, è relativo alla possibilità di un attacco temporale tramite DMA (Accesso diretto alla memoria) per danneggiare la memoria nel codice in esecuzione al livello SMM.
Una race condition che coinvolge l'accesso e la convalida SMRAM può essere raggiunta da attacchi di temporizzazione DMA che dipendono dalle condizioni del tempo di utilizzo (TOCTOU). Un utente malintenzionato può utilizzare il polling tempestivo per tentare di sovrascrivere il contenuto della SMRAM con dati arbitrari, portando il codice dell'attaccante in esecuzione con gli stessi privilegi elevati disponibili per la CPU (ad esempio, modalità Ring-2). La natura asincrona dell'accesso SMRAM tramite controller DMA consente a un utente malintenzionato di eseguire tale accesso non autorizzato e aggirare i controlli normalmente forniti dall'API del controller SMI.
Le tecnologie Intel-VT e Intel VT-d forniscono una certa protezione contro gli attacchi DMA utilizzando l'Input Output Memory Management Unit (IOMMU) per affrontare le minacce DMA. Sebbene IOMMU possa proteggere dagli attacchi DMA hardware, i controller SMI vulnerabili a RingHopper possono comunque essere maltrattati.
Vulnerabilità può essere sfruttato dal sistema operativo utilizzando i driver SMI vulnerabili (System Administration Interrupt), che richiedono diritti di amministratore per l'accesso. L'attacco può essere fatto anche se è disponibile un accesso fisico in una fase iniziale dell'avvio, in una fase precedente all'inizializzazione del sistema operativo. Per bloccare il problema, si consiglia agli utenti Linux di aggiornare il firmware tramite LVFS (Linux Vendor Firmware Service) utilizzando l'utilità fwupdmgr (fwupdmgr get-updates) dal pacchetto fwupd.
La necessità di avere diritti di amministratore eseguire un attacco limita il pericolo del problema, ma non ne impedisce l'utilizzo come vulnerabilità del secondo collegamento, per mantenere la propria presenza dopo aver sfruttato altre vulnerabilità nel sistema o aver utilizzato metodi di ingegneria dei social media.
L'accesso a SMM (Ring -2) consente di eseguire il codice a un livello non controllato dal sistema operativo, che può essere utilizzato per modificare il firmware e posizionare codice dannoso o rootkit nascosti in SPI Flash che non vengono rilevati dal sistema operativo . , nonché per disabilitare la verifica in fase di avvio (UEFI Secure Boot, Intel BootGuard) e gli attacchi agli hypervisor per aggirare i meccanismi di verifica dell'integrità degli ambienti virtuali.
Il problema è dovuto a una race condition nel controller SMI (interrupt di gestione del sistema) che si verifica tra il controllo dell'accesso e l'accesso alla SMRAM. L'analisi del canale laterale con DMA può essere utilizzata per determinare il momento giusto tra il controllo dello stato e l'utilizzo del risultato del controllo.
Di conseguenza, a causa della natura asincrona dell'accesso SMRAM tramite DMA, un utente malintenzionato può cronometrare e sovrascrivere il contenuto di SMRAM tramite DMA, bypassando l'API del driver SMI.
I processori abilitati Intel-VT e Intel VT-d includono la protezione contro gli attacchi DMA basata sull'uso di IOMMU (Input Output Memory Management Unit), ma questa protezione è efficace nel bloccare gli attacchi DMA hardware eseguiti con dispositivi di attacco preparati e non protegge contro attacchi tramite controller SMI.
La vulnerabilità è stata confermata in firmware Software Intel, Dell e Insyde (Si dice che il problema riguardi 8 produttori, ma i restanti 5 devono ancora essere rivelati.) il firmware di AMD, Phoenix e Toshiba non sono interessati dal problema.
fonte: https://kb.cert.org/