RingHopper, уязвимость в UEFI, позволяет выполнять код на уровне SMM.

уязвимость

При эксплуатации эти недостатки могут позволить злоумышленникам получить несанкционированный доступ к конфиденциальной информации или вообще вызвать проблемы.

Недавно была раскрыта информация об уязвимости (уже внесен в каталог под CVE-2021-33164), обнаруженный в прошивке UEFI, обнаруженная уязвимость позволяет выполнять код на уровне SMM (режим управления системой), который имеет более высокий приоритет, чем режим гипервизора и нулевое кольцо защиты, и предоставляет неограниченный доступ к всю системную память.

Уязвимость, чьи кодовое название RingHopper, está связанные с возможностью атаки по времени с использованием DMA (прямой доступ к памяти) для повреждения памяти в коде, работающем на уровне SMM.

Состояние гонки, связанное с доступом к SMRAM и ее проверкой, может быть достигнуто с помощью временных атак DMA, которые зависят от условий времени использования (TOCTOU). Злоумышленник может использовать своевременный опрос, чтобы попытаться перезаписать содержимое SMRAM произвольными данными, что приведет к тому, что код злоумышленника будет работать с теми же повышенными привилегиями, доступными для ЦП (т. е. в режиме Ring-2). Асинхронный характер доступа к SMRAM через контроллеры DMA позволяет злоумышленнику осуществлять такой несанкционированный доступ и обходить проверки, обычно предоставляемые API-интерфейсом контроллера SMI.

Технологии Intel-VT и Intel VT-d обеспечивают некоторую защиту от атак DMA за счет использования модуля управления памятью ввода-вывода (IOMMU) для устранения угроз DMA. Хотя IOMMU может защитить от аппаратных атак DMA, контроллеры SMI, уязвимые для RingHopper, все еще могут быть использованы не по назначению.

Уязвимости можно использовать из операционной системы с помощью драйверов SMI уязвимые (System Administration Interrupt), для доступа к которым требуются права администратора. Атака также можно сделать при наличии физического доступа на ранней стадии загрузки, на этапе, предшествующем инициализации операционной системы. Чтобы заблокировать проблему, пользователям Linux рекомендуется обновить прошивку через LVFS (служба прошивки поставщиков Linux) с помощью утилиты fwupdmgr (fwupdmgr get-updates) из пакета fwupd.

Необходимость иметь права администратора совершить атаку ограничивает опасность проблемы, но это не мешает использовать его как уязвимость второго звена, для сохранения своего присутствия после использования других уязвимостей в системе или использования методов инженерии социальных сетей.

Доступ к SMM (кольцо -2) позволяет выполнять код на уровне, не контролируемом операционной системой, который можно использовать для модификации прошивки и размещения вредоносного кода или руткитов, скрытых во флэш-памяти SPI, которые не обнаруживаются операционной системой. . , а также для отключения проверки на этапе загрузки (UEFI Secure Boot, Intel BootGuard) и атак на гипервизоры для обхода механизмов проверки целостности виртуальных сред.

Проблема связана с состоянием гонки в контроллере SMI. (прерывание управления системой), которое происходит между проверкой доступа и доступом к SMRAM. Анализ побочного канала с помощью прямого доступа к памяти можно использовать для определения правильного времени. между проверкой состояния и использованием результата проверки.

В результате из-за асинхронного характера доступа к SMRAM через DMA злоумышленник может замерить время и перезаписать содержимое SMRAM через DMA, минуя API-интерфейс драйвера SMI.

Процессоры с поддержкой Intel-VT и Intel VT-d включают защиту от атак DMA, основанную на использовании IOMMU (модуль управления памятью ввода-вывода), но эта защита эффективна при блокировании атак аппаратного DMA, выполняемых с помощью подготовленных атакующих устройств, и не защищает от атаки через SMI-контроллеры.

Уязвимость была подтверждена в прошивка Программное обеспечение Intel, Dell и Insyde (Утверждается, что проблема затрагивает 8 производителей, но остальные 5 еще не раскрыты.) прошивка AMD, Phoenix и Toshiba не затронуты этой проблемой.

источник: https://kb.cert.org/


Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.