The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в UEFI-прошивках Phoenix, затрагивающая многие устройства с CPU Intel

24.06.2024 14:56

В UEFI-прошивках Phoenix SecureCore, используемых на многих ноутбуках, ПК и серверах с процессорами Intel, выявлена уязвимость (CVE-2024-0762), позволяющая при наличии доступа к системе добиться выполнения кода на уровне прошивки. Уязвимость может использоваться после успешного совершения атаки на систему для оставления в прошивке бэкдора, работающего над операционной системой, обходящего механизмы обеспечения безопасности ОС, незаметного для программ определения вредоносного ПО и сохраняющего своё присутствие после переустановки ОС.

Уязвимость вызвана небезопасным использованием переменной TCG2_CONFIGURATION в конфигурации TPM (Trusted Platform Module), манипуляции с которой могут привести к переполнению буфера и потенциальному выполнению кода с привилегиями UEFI-прошивки, т.е. на уровне SMM (System Management Mode), более приоритетном, чем режим гипервизора и нулевое кольцо защиты, и предоставляющем неограниченный доступ ко всей системной памяти. Уязвимость присутствует в коде обработки конфигурации TPM в UEFI и проявляется независимо от наличия TPM-чипа.

Причиной возникающего переполнения является некорректный двойной вызов прошивкой UEFI-сервиса GetVariable, в случае если значение TCG2_CONFIGURATION превышает размер изначально выделенного в стеке буфера, при том, что в обоих вызовах использована одна и та же переменная с размером data_size без её изменения после первого вызова. Если атакующий имеет возможность изменить значение UEFI-переменной TCG2_CONFIGURATION во время работы системы, он может выставить его достаточно большим для того, чтобы первый вызов вернул код EFI_BUFFER_TOO_SMALL. Так как после первого вызова значение data_size вместо изначально заданного размера имеющегося буфера будет выставлено в размер значения переменной TCG2_CONFIGURATION, то второй вызов приведёт к переполнению буфера.


   void Function_0000537c(void){
      ...
      ulonglong data_size;
      char buffer [8];
      ...
 
      EVar1 = (*gRS_2->GetVariable)
                    ((CHAR16 *)TCG2_CONFIGURATION, &gTCG2_CONFIG_FORM_SET_GUID,
                     (UINT32 *)0x0, &data_size, buffer);

      if (EVar1 == EFI_BUFFER_TOO_SMALL) {
          EVar1 = (*gRS_2->GetVariable)
                      ((CHAR16 *)TCG2_CONFIGURATION,&gTCG2_CONFIG_FORM_SET_GUID,
                       (UINT32 *)0x0,&data_size,buffer)

Проблема проявляется в прошивках Phoenix SecureCore, применяемых на устройствах с процессорами Intel семейства AlderLake, CoffeeLake, CometLake, IceLake, JasperLake, KabyLake, MeteorLake, RaptorLake, RocketLake и TigerLake. Возможность совершения атаки на конкретную систему зависит от настроек прошивки и возможности получения доступа к переменной TCG2_CONFIGURATION. Пример эксплуатации уязвимости продемонстрирован на ноутбуках Lenovo ThinkPad X1 Carbon поколения Gen и Lenovo ThinkPad X1 Yoga 4 поколения. Уязвимость устранена в апрельских и майских обновлениях прошивок от Technologies и Lenovo.

  1. Главная ссылка к новости (https://eclypsium.com/blog/uef...)
  2. OpenNews: Уязвимость в прошивках UEFI, позволяющая выполнить код на уровне SMM
  3. OpenNews: Уязвимости в UEFI-прошивках на базе фреймворка InsydeH2O, позволяющие выполнить код на уровне SMM
  4. OpenNews: Уязвимость в прошивках AMI MegaRAC, вызванная поставкой старой версии lighttpd
  5. OpenNews: LogoFAIL - атака на UEFI-прошивки через подстановку вредоносных логотипов
  6. OpenNews: PixieFAIL - уязвимости в сетевом стеке прошивок UEFI, применяемом для PXE-загрузки
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/61432-phoenix
Ключевые слова: phoenix, uefi, firmware
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (52) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, анон (?), 16:25, 24/06/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –2 +/
     

     ....ответы скрыты (3)

  • 1.4, Аноним (4), 16:35, 24/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +19 +/
    TPM всех спасет и секурбут это вам не легаси биус. Так приятно когда есть чему сломаться.
     
  • 1.5, Аноним (5), 16:36, 24/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    Бесценный джейлбрейк вашего компьютера, храните как зеницу ока, а то пропатчат и останетесь с кирпичом не дающим доступ собственному владельцу.
     
     
  • 2.38, Bottle (?), 21:33, 24/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    То есть, Intel Management Engine и Platform Security Processor это добро?
    Всегда это знал.
     

  • 1.6, Аноним (-), 16:39, 24/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    > TCG2_CONFIGURATION в конфигурации TPM (Trusted Platform Module),

    Такой вот "trusted", "secure" boot получился у проприетарщиков... а половина железок апдейтов поди не получит, как обычно.

     
     
  • 2.23, Аноним (-), 17:45, 24/06/2024 Скрыто ботом-модератором     [к модератору]
  • –4 +/
     
     
  • 3.25, КО (?), 17:51, 24/06/2024 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
  • 3.36, Аноним (-), 21:03, 24/06/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.55, Аноним (55), 02:29, 25/06/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > половина железок апдейтов поди не получит

    Половина? Какой вы оптимист.

     
     
  • 3.65, Аноним (65), 12:21, 25/06/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Моя не получит с вероятностью 146% потому что на AMD. Правда по той же причине у неё и бага этого нет.
     

  • 1.7, anonymous (??), 16:41, 24/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ура! Можно вместо майкрософтовской подписи использовать собственную.
     
     
  • 2.45, Аноним (45), 01:23, 25/06/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Так всегда можно было на изделиях нормальных вендоров заменить ключи pk/kek/db/dbx на собственные и ими подписывать загрузчик. Про китайские шушлайки не скажу, никогда их в руках не держал.
     

  • 1.9, Аноним (9), 16:47, 24/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Если атакующий имеет возможность изменить значение UEFI-переменной TCG2_CONFIGURATION во время работы системы

    Для root уязвимости нужен root account.

    Зачем нужны такие "уязвимости" я не понимаю. Называйте их правильно - "косяки" или "кривизна".

    Никакой "уязвимости" тут нет.

     
     
  • 2.10, Аноним (10), 16:53, 24/06/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ведёт себя не так, как ожидалось, позволяет запускать код уровнем выше, чем дали, ходит как утка, крякаяет как утка. Если вы в виртуалке винду допустим запустите и у виртуалки будет доступ к UEFI (инсталятор прошивки той же самой запускали, например), то вот вам и вектор атаки.
     
     
  • 3.14, Аноним (9), 17:07, 24/06/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > у виртуалки будет доступ к UEFI

    Что? Ты в себе?

    Все VM эмулируют свой собственный EFI NVRAM.

     
     
  • 4.16, Аноним (-), 17:14, 24/06/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Что? Ты в себе?
    > Все VM эмулируют свой собственный EFI NVRAM.

    О том что так можно было - некоторые эксперты узнали только сейчас. А дать доступ виртуалке в NVRAM хоста - это конечно было бы топчиком. Может ей еще и биос рефлешить позволить? А виртуалка тогда вообще зачем?!

     
     
  • 5.67, Аноним (67), 17:44, 25/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А виртуалка тогда вообще зачем?!

    Линукс в ней запускать если WSL чем-то не устраивает.

     
  • 4.46, Аноним (45), 01:28, 25/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Он больше специалист по уткам.
    Стоит где утка, из материала как утка, брянчит как утка, и ничего, что это поднос с едой.
     
  • 2.17, эмэм (?), 17:19, 24/06/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вы что-то неверно понимаете.

    Доступ с правами root не позволяет влезть в SMM.
    Точнее говоря, для этого у вас должен быть некий инженерный/отладочный образец (матплаты например), либо некий "вход" должен быть предусмотрен логикой текущей "прошивки".

    А эта дырочка позволяет приземлить руткит в smm (например) просто проверив ОЗУ посредством флешки с memtest-ом.
    Причем с очень слабым шансом заметить этот руткит и/или выковырить.

     
     
  • 3.20, Аноним (9), 17:29, 24/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А эта дырочка позволяет приземлить руткит в smm (например) просто проверив ОЗУ посредством флешки с memtest-ом.

    А так у вас физический доступ есть?

    Рассказать про сотни hardware RAM/storage/keyboard/mouse/USB ports sniffers?

    Такие эксперты на opennet - жуть.

     
     
  • 4.29, ИмяХ (ok), 18:35, 24/06/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У меня-то есть, а вот у злоумышленника, который незаметно пропатчил вирусом мемтест - нету. Достаточно лишь разок не проверить исходный код программы, которую запускаешь - и все, твой уефи заражён.
     
     
  • 5.31, Аноним (9), 19:20, 24/06/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > У меня-то есть, а вот у злоумышленника, который незаметно пропатчил вирусом мемтест - нету. Достаточно лишь разок не проверить исходный код программы, которую запускаешь - и все, твой уефи заражён.

    Что сделал?

    У меня

    1) Включен пароль на EFI загрузку и вход в BIOS.
    2) Включен Secure Boot.
    3) Выключена возможность добавления своего сертификата MOK.

    Удачи в "патчинге".

     
     
  • 6.37, Аноним (-), 21:07, 24/06/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > 1) Включен пароль на EFI загрузку и вход в BIOS.
    > 2) Включен Secure Boot.
    > 3) Выключена возможность добавления своего сертификата MOK.
    > Удачи в "патчинге".

    И пруфом что все это "секурно" будет... эээ... что? А, крыжик в проприетарном биосе, делающий фиг знает что? Это железобетонный пруф, конечно. А, вы не можете посмотреть что на самом деле этот крыжик делал и что все честно? Ну надо же, издержки пропертатства.

     
  • 6.39, эмэм (?), 22:27, 24/06/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А представь, что вся партия серваков для облака мтс/яндекс/вк, из которой в том числе и пара попавшая в вашу контору, была пропатчена црушником на таможне при импорте в Казахстан.
     
     
  • 7.50, Аноним (50), 01:40, 25/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >попавшая в вашу контору...

    Думаешь кому-нибудь интересно что творится в школе для детей с особенностями развития в усть-переплюйском районе?

    Пришлось с другого IP заходить, а то бушуют церберы. Но, как всегда безуспешно.

     
  • 7.60, Аноним (-), 07:46, 25/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А представь, что вся партия серваков для облака мтс/яндекс/вк, из которой в
    > том числе и пара попавшая в вашу контору, была пропатчена црушником
    > на таможне при импорте в Казахстан.

    Думается ME и так при случае позволит включить god mode и сделать "богам" все что они там хотели. И ни у каких мтсов экспертизы не хватит дебастардизировать все что они там юзают. Особенно после эпического драпа более чем миллиона айтишников. Не, простите, слезшие с гор чуваки срочно нанятые по объявам - вон то немного не умеют. Как и господа совкового образца.

     
  • 4.40, эмэм (?), 22:51, 24/06/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А так у вас физический доступ есть?

    Цепочка доверия начинается с TPM, и тут это доверия теряется.

    Физический доступ не обязателен, достаточно пробитие по сети до root без закрепления.
    Точнее говоря закрепение будет в SMM, с возможностью полностью скрыть следы.
    Другими словами, достаточно винды или systemd.

    Вангую, через пару месяцев штеуд выкатит ERRATA на тему "SMIACT может быть не активным" ;)

    > Рассказать про сотни hardware RAM/storage/keyboard/mouse/USB ports sniffers?

    Лучше изучить что может SMM, в том числе по части перехвата/виртуализации USB, если вы в этом понимаете.

    > Такие эксперты на opennet - жуть.

    Да, уж )

     
     
  • 5.61, Аноним (-), 07:48, 25/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> А так у вас физический доступ есть?
    > Цепочка доверия начинается с TPM, и тут это доверия теряется.

    Если вы доверяли куче мутной проприетарщины в BIOS из блобов и такой же фирмвари TPM модуля, казалось бы, что в этой схеме может пойти не так? :))

    Еще можно доверить лисе подсчет цыплят, например. С примерно тем же успехом.

     
     
  • 6.70, 79956 (?), 15:59, 26/06/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для вашей паранойи еще такие витамины есть -- процессор-то целиком буквально вражеский и проприетарный, причем с проприетарным загружаемым микрокодом (который определяет актуальное поведение во всех сложных ситуациях, начиная с обработки с исключений и SMM).

    А еще прицеп АМТ, пара служебных ядер с полным доступом и сетью.
    А еще прицеп "ништяков" как-бы для отладки и диагностики, позволяющий предположить что все механизмы изоляции преодолеваются посредством генерации исключения с ключевыми значениями регистров (функционально-связанные через сигнатурную функцию).

    Поэтому примерно неважно какой там биос, винда или астра.

     
     
  • 7.72, Аноним (-), 21:01, 26/06/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, и это 1 повод выкинуть x86 нахрен Что так то многие уже и делают, даже эпл... большой текст свёрнут, показать
     

  • 1.22, Аноним (21), 17:37, 24/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Случайности не случайны. Даже мастер Шифу это знал.
     
  • 1.27, какая разница (?), 18:12, 24/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Бэкдор универсальный? Для любой системы и процессор любой ему подходит?
     
     
  • 2.28, Qq (?), 18:18, 24/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Пока речь о блобе от phoenix

    ami и award ещё эти ваши бивисы делают?

     
     
  • 3.34, Советский инженер и пенсионер (?), 19:54, 24/06/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    AMI основной среди потребительских материнок (все эти асусы, асроки, гигабайты, хуананы, супермикро).
     
  • 3.64, ryoken (ok), 08:14, 25/06/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ещё есть такое порождение ехиднино как Insyde и его H2O.
     
  • 2.41, эмэм (?), 23:20, 24/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Бэкдор универсальный? Для любой системы и процессор любой ему подходит?

    На вскидку подходит для 80% серверного импорта за последние 2 года.
    Импортозамещения тут нет, точнее оно отверточное, и местами немного "паяльное".

    Можно было-бы вспомнить про Эльбрусы, ибо они тут неуязвимы, но к сожалению в том числе из-за отсутствия.

     
     
  • 3.43, Аноним (-), 00:24, 25/06/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Можно было-бы вспомнить про Эльбрусы

    Можно было бы ещё вспомнить про PDP-7, но зачем?

     
  • 3.62, Аноним (62), 07:52, 25/06/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Можно было-бы вспомнить про Эльбрусы, ибо они тут неуязвимы, но к сожалению
    > в том числе из-за отсутствия.

    Уж пару лет как господа грозились показать всем кузькину мать^W^W литографы. О том что это лишь 1 звено немеряной технологической цепи они почему-то стыдливо умолчали. Впрочем, сейчас они уже и про литографы стесняются. Иначе можно попасть на отпуск куда-то к тем гиперзвуковикам-затейникам, видимо.

    Но если записаться на очередь за счастьем и отщелкиваться к ней, если сильно повезет, может даже додивете. А не доживете, кто-то с удовольствием сократит список и займет место.

     

  • 1.33, Советский инженер и пенсионер (?), 19:52, 24/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Неужто владельцам определенных девайсов подарили джейлбрейк? На редкость хорошая, годная новость.
     
     
  • 2.42, эмэм (?), 23:33, 24/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Неужто владельцам определенных девайсов подарили джейлбрейк? На редкость хорошая, годная
    > новость.

    Вишенка в том, что у lenovo, supermicro (и далее по списку) масса дырений в IPMI и т.п.

    Поэтому воткнувшись в коммутатор возле условного кластера условного сбера можно заруткитеть всё, если не сразу, то за несколько хопов...
    Интересно сколько админчиков откликнется, если дать объяву с ценником в 30 битков ;)

    Пожалуй, еще пару таких свистков и условный сбер начнет жалеть что смешивал Эльбрусы с навозом.

     
     
  • 3.53, Алиса повзрослела (?), 02:02, 25/06/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 4.56, эмэм (?), 02:38, 25/06/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 5.63, Аноним (-), 08:08, 25/06/2024 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 3.68, Фняк (?), 17:46, 25/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так он их и не смешивал. Они честно писали что производительность того что им дали на тест сильно меньше их стандартной конфигурации сервера. Думаю против этого ни у кого возражений нет
     
     
  • 4.69, 79956 (?), 15:46, 26/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это со сцены под запись, а в кулуарах некоторые даже возмущались что им пятую точку только вытирали, а не целовали...
     

  • 1.58, Golangdev (?), 03:09, 25/06/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +/
     

  • 1.66, Аноним (66), 16:20, 25/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    coreboot opensource BIOS одной левой уделывает вашу раздутую UEFI-проприетарщину
     
  • 1.71, Аноним (71), 17:12, 26/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >позволяющая при наличии доступа к системе добиться выполнения кода на уровне прошивки

    Не уязвимость, а фича. С какой стати на моей машине у меня не должно быть возможности выполнять код на уровне прошивки?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру