Als deze fouten worden misbruikt, kunnen aanvallers ongeoorloofde toegang krijgen tot gevoelige informatie of in het algemeen problemen veroorzaken
onlangs informatie over een kwetsbaarheid is bekendgemaakt (reeds gecatalogiseerd onder CVE-2021-33164) gedetecteerd in de UEFI-firmware, maakt de gedetecteerde fout het mogelijk om code uit te voeren op het SMM-niveau (System Management Mode), dat een hogere prioriteit heeft dan hypervisor-modus en beschermingsring nul, en biedt onbeperkte toegang tot al het systeemgeheugen.
De kwetsbaarheid, wiens codenaam is RingHopper, is gerelateerd aan de mogelijkheid van een timing-aanval met behulp van DMA (Directe geheugentoegang) om geheugen te beschadigen in code die op de SMM-laag wordt uitgevoerd.
Een raceconditie met SMRAM-toegang en -validatie kan worden bereikt door DMA-timingaanvallen die afhankelijk zijn van time-of-use (TOCTOU) voorwaarden. Een aanvaller kan tijdige polling gebruiken om te proberen de inhoud van SMRAM te overschrijven met willekeurige gegevens, waardoor de code van de aanvaller wordt uitgevoerd met dezelfde verhoogde privileges die beschikbaar zijn voor de CPU (dwz Ring-2-modus). De asynchrone aard van SMRAM-toegang via DMA-controllers stelt een aanvaller in staat om dergelijke ongeautoriseerde toegang uit te voeren en de controles te omzeilen die normaal door de SMI-controller-API worden geleverd.
Intel-VT- en Intel VT-d-technologieën bieden enige bescherming tegen DMA-aanvallen door de Input Output Memory Management Unit (IOMMU) te gebruiken om DMA-bedreigingen aan te pakken. Hoewel IOMMU kan beschermen tegen hardware DMA-aanvallen, kunnen SMI-controllers die kwetsbaar zijn voor RingHopper nog steeds worden misbruikt.
Kwetsbaarheden kan worden misbruikt vanuit het besturingssysteem met behulp van SMI-stuurprogramma's kwetsbaar (System Administration Interrupt), waarvoor beheerdersrechten nodig zijn om toegang te krijgen. De aanval kan ook worden uitgevoerd als er fysieke toegang is in een vroeg stadium van opstarten, in een fase voorafgaand aan de initialisatie van het besturingssysteem. Om het probleem te blokkeren, wordt Linux-gebruikers aangeraden om de firmware bij te werken via de LVFS (Linux Vendor Firmware Service) met behulp van het hulpprogramma fwupdmgr (fwupdmgr get-updates) uit het fwupd-pakket.
De noodzaak om beheerdersrechten te hebben een aanval uitvoeren beperkt het gevaar van het probleem, maar het verhindert niet het gebruik ervan als een kwetsbaarheid van de tweede link, om hun aanwezigheid te behouden na misbruik van andere kwetsbaarheden in het systeem of het gebruik van sociale media-engineeringmethoden.
Toegang tot SMM (Ring -2) maakt het mogelijk code uit te voeren op een niveau dat niet wordt gecontroleerd door het besturingssysteem, dat kan worden gebruikt om firmware te wijzigen en kwaadaardige code of rootkits te plaatsen die verborgen zijn in SPI Flash die niet worden gedetecteerd door het besturingssysteem . , evenals om verificatie tijdens het opstarten uit te schakelen (UEFI Secure Boot, Intel BootGuard) en aanvallen op hypervisors om de integriteitsverificatiemechanismen van virtuele omgevingen te omzeilen.
Het probleem is te wijten aan een raceconditie in de SMI-controller (systeembeheeronderbreking) die optreedt tussen de toegangscontrole en de SMRAM-toegang. Zijkanaalanalyse met DMA kan worden gebruikt om het juiste moment te bepalen tussen de statuscontrole en het gebruik van het controleresultaat.
Als gevolg hiervan kan een aanvaller, vanwege de asynchrone aard van SMRAM-toegang via DMA, de inhoud van SMRAM timen en overschrijven via DMA, waarbij de SMI-stuurprogramma-API wordt omzeild.
Intel-VT- en Intel VT-d-compatibele processors bieden bescherming tegen DMA-aanvallen op basis van het gebruik van IOMMU (Input Output Memory Management Unit), maar deze bescherming is effectief bij het blokkeren van hardware-DMA-aanvallen die worden uitgevoerd met voorbereide aanvalsapparaten, en biedt geen bescherming tegen aanvallen via SMI-controllers.
De kwetsbaarheid is bevestigd in firmware Intel, Dell en Insyde-software (Er wordt beweerd dat het probleem 8 fabrikanten treft, maar de overige 5 moeten nog worden onthuld.) de firmware van AMD, Phoenix en Toshiba hebben geen last van het probleem.
bron: https://kb.cert.org/