Jeśli zostaną wykorzystane, te luki mogą umożliwić atakującym uzyskanie nieautoryzowanego dostępu do poufnych informacji lub ogólnie spowodować problemy
Ostatnio ujawniono informację o luce (już skatalogowany pod CVE-2021-33164) wykryty w oprogramowaniu UEFI, wykryta usterka pozwala na wykonanie kodu na poziomie SMM (System Management Mode), który ma wyższy priorytet niż tryb hypervisor i pierścień ochronny zero oraz zapewnia nieograniczony dostęp do cała pamięć systemowa.
Luka, której kryptonim to RingHopper, jest związane z możliwością ataku czasowego z wykorzystaniem DMA (Bezpośredni dostęp do pamięci), aby uszkodzić pamięć w kodzie działającym w warstwie SMM.
Sytuacja wyścigu obejmująca dostęp do SMRAM i weryfikację można osiągnąć za pomocą ataków czasowych DMA, które zależą od warunków czasu użytkowania (TOCTOU). Atakujący może użyć sondowania w odpowiednim czasie, aby spróbować nadpisać zawartość pamięci SMRAM dowolnymi danymi, co prowadzi do uruchomienia kodu atakującego z tymi samymi podwyższonymi uprawnieniami dostępnymi dla procesora (tj. tryb Ring-2). Asynchroniczny charakter dostępu do SMRAM za pośrednictwem kontrolerów DMA umożliwia atakującemu wykonanie takiego nieautoryzowanego dostępu i ominięcie kontroli normalnie zapewnianych przez interfejs API kontrolera SMI.
Technologie Intel-VT i Intel VT-d zapewniają pewną ochronę przed atakami DMA za pomocą modułu zarządzania pamięcią wyjściową wejścia (IOMMU) w celu przeciwdziałania zagrożeniom DMA. Chociaż IOMMU może chronić przed sprzętowymi atakami DMA, kontrolery SMI podatne na RingHopper nadal mogą być nadużywane.
Luki w zabezpieczeniach można wykorzystać z systemu operacyjnego za pomocą sterowników SMI podatne (przerwanie administracji systemu), które wymagają uprawnień administratora, aby uzyskać dostęp. Atak można to również zrobić, jeśli istnieje fizyczny dostęp na wczesnym etapie uruchamiania, na etapie przed inicjalizacją systemu operacyjnego. Aby zablokować ten problem, użytkownikom systemu Linux zaleca się aktualizację oprogramowania układowego za pomocą LVFS (Linux Vendor Firmware Service) przy użyciu narzędzia fwupdmgr (fwupdmgr get-updates) z pakietu fwupd.
Konieczność posiadania uprawnień administratora wykonać atak ogranicza niebezpieczeństwo problemu, ale nie uniemożliwia jej wykorzystania jako podatności drugiego łącza, do utrzymania swojej obecności po wykorzystaniu innych luk w systemie lub wykorzystaniu metod inżynierii mediów społecznościowych.
Dostęp do SMM (Ring -2) umożliwia wykonanie kodu na poziomie, który nie jest kontrolowany przez system operacyjny, co może być wykorzystane do modyfikacji oprogramowania układowego i umieszczenia złośliwego kodu lub rootkitów ukrytych w SPI Flash, które nie są wykrywane przez system operacyjny . , a także wyłączyć weryfikację na etapie rozruchu (UEFI Secure Boot, Intel BootGuard) i ataki na hipernadzorców w celu ominięcia mechanizmów weryfikacji integralności środowisk wirtualnych.
Problem wynika z sytuacji wyścigu w kontrolerze SMI (przerwanie zarządzania systemem), które występuje między kontrolą dostępu a dostępem do pamięci SMRAM. Analiza kanału bocznego z DMA może być użyta do określenia właściwego czasu między sprawdzeniem statusu a wykorzystaniem wyniku sprawdzenia.
W rezultacie, ze względu na asynchroniczny charakter dostępu do SMRAM za pośrednictwem DMA, atakujący może zmierzyć czas i nadpisać zawartość SMRAM za pośrednictwem DMA, z pominięciem interfejsu API sterownika SMI.
Procesory obsługujące Intel-VT i Intel VT-d obejmują ochronę przed atakami DMA w oparciu o użycie IOMMU (Input Output Memory Management Unit), ale ta ochrona jest skuteczna w blokowaniu sprzętowych ataków DMA wykonywanych za pomocą przygotowanych urządzeń atakujących i nie chroni przed ataki za pośrednictwem kontrolerów SMI.
Podatność została potwierdzona w oprogramowanie układowe Oprogramowanie Intel, Dell i Insyde (Twierdzi się, że problem dotyczy 8 producentów, ale pozostałych 5 nie zostało jeszcze ujawnionych). oprogramowanie układowe Problem nie dotyczy AMD, Phoenix i Toshiba.
źródło: https://kb.cert.org/