Nếu bị khai thác, những lỗ hổng này có thể cho phép kẻ tấn công truy cập trái phép vào thông tin nhạy cảm hoặc thường gây ra sự cố
Gần đây thông tin về một lỗ hổng đã được tiết lộ (đã được lập danh mục theo CVE-2021-33164) được phát hiện trong phần sụn UEFI, lỗ hổng được phát hiện cho phép thực thi mã ở cấp SMM (Chế độ quản lý hệ thống), có mức độ ưu tiên cao hơn chế độ siêu giám sát và vòng bảo vệ bằng XNUMX, đồng thời cung cấp quyền truy cập không giới hạn vào tất cả bộ nhớ hệ thống.
Lỗ hổng bảo mật, mà tên mã là RingHopper, là liên quan đến khả năng xảy ra một cuộc tấn công định thời bằng DMA (Truy cập Bộ nhớ Trực tiếp) để làm hỏng bộ nhớ trong mã chạy ở lớp SMM.
Điều kiện cuộc đua liên quan đến việc truy cập và xác thực SMRAM có thể đạt được bằng các cuộc tấn công định thời DMA phụ thuộc vào điều kiện thời gian sử dụng (TOCTOU). Kẻ tấn công có thể sử dụng tính năng thăm dò kịp thời để cố gắng ghi đè nội dung của SMRAM bằng dữ liệu tùy ý, dẫn đến mã của kẻ tấn công chạy với cùng các đặc quyền nâng cao có sẵn cho CPU (tức là chế độ Ring -2). Bản chất không đồng bộ của truy cập SMRAM thông qua bộ điều khiển DMA cho phép kẻ tấn công thực hiện truy cập trái phép đó và bỏ qua các kiểm tra thường được cung cấp bởi API bộ điều khiển SMI.
Công nghệ Intel-VT và Intel VT-d cung cấp một số biện pháp bảo vệ chống lại các cuộc tấn công DMA bằng cách sử dụng Bộ quản lý bộ nhớ đầu ra đầu vào (IOMMU) để giải quyết các mối đe dọa DMA. Mặc dù IOMMU có thể bảo vệ khỏi các cuộc tấn công DMA phần cứng, các bộ điều khiển SMI dễ bị tấn công bởi RingHopper vẫn có thể bị lạm dụng.
Các lỗ hổng có thể được khai thác từ hệ điều hành bằng cách sử dụng trình điều khiển SMI dễ bị tấn công (Ngắt quản trị hệ thống), yêu cầu quyền quản trị viên để truy cập. Cuộc tấn công cũng có thể được thực hiện nếu có quyền truy cập vật lý ở giai đoạn đầu khởi động, ở giai đoạn trước khi khởi chạy hệ điều hành. Để chặn sự cố, người dùng Linux nên cập nhật chương trình cơ sở qua LVFS (Dịch vụ phần mềm cơ sở của nhà cung cấp Linux) bằng cách sử dụng tiện ích fwupdmgr (fwupdmgr get-Updates) từ gói fwupd.
Sự cần thiết phải có quyền quản trị viên để thực hiện một cuộc tấn công hạn chế nguy hiểm của vấn đề, nhưng nó không ngăn việc sử dụng nó như một lỗ hổng của liên kết thứ hai, để duy trì sự hiện diện của họ sau khi khai thác các lỗ hổng khác trong hệ thống hoặc sử dụng các phương pháp kỹ thuật truyền thông xã hội.
Quyền truy cập vào SMM (Ring -2) cho phép mã được thực thi ở mức không được hệ điều hành kiểm soát, có thể được sử dụng để sửa đổi phần sụn và đặt mã độc hại hoặc bộ rootkit ẩn trong SPI Flash mà hệ điều hành không phát hiện được. . , cũng như vô hiệu hóa xác minh ở giai đoạn khởi động (UEFI Secure Boot, Intel BootGuard) và các cuộc tấn công vào người giám sát để vượt qua cơ chế xác minh tính toàn vẹn của môi trường ảo.
Sự cố là do điều kiện chạy đua trong bộ điều khiển SMI (ngắt quản lý hệ thống) xảy ra giữa kiểm tra truy cập và truy cập SMRAM. Phân tích kênh bên với DMA có thể được sử dụng để xác định thời điểm thích hợp giữa kiểm tra trạng thái và sử dụng kết quả kiểm tra.
Do đó, do tính chất không đồng bộ của truy cập SMRAM qua DMA, kẻ tấn công có thể định thời gian và ghi đè nội dung của SMRAM qua DMA, bỏ qua API trình điều khiển SMI.
Bộ xử lý hỗ trợ Intel-VT và Intel VT-d bao gồm bảo vệ chống lại các cuộc tấn công DMA dựa trên việc sử dụng IOMMU (Bộ quản lý bộ nhớ đầu ra đầu vào), nhưng biện pháp bảo vệ này có hiệu quả trong việc ngăn chặn các cuộc tấn công DMA phần cứng được thực hiện với các thiết bị tấn công đã chuẩn bị sẵn và không bảo vệ chống lại tấn công thông qua bộ điều khiển SMI.
Lỗ hổng bảo mật đã được xác nhận trong phần sụn Phần mềm Intel, Dell và Insyde (Vấn đề được cho là ảnh hưởng đến 8 nhà sản xuất, nhưng 5 nhà sản xuất còn lại vẫn chưa được tiết lộ.) phần sụn của AMD, Phoenix và Toshiba không bị ảnh hưởng bởi sự cố.
Fuente: https://kb.cert.org/