Negen kwetsbaarheden in EDK II raken veel enterprise-omgevingen wereldwijd. Onderzoekers van het Franse Quarkslab ontdekten dat deze open-source standaard voor de UEFI-specificatie door kwaadwillenden misbruikt kan worden. Deze exploitaties zouden vervolgens zeer lastig op te sporen zijn.
De negen kwetsbaarheden zijn te exploiteren in de PXE (Preboot Execution Environment) als deze IPv6 voor networking gebruikt. TianoCore EDK II wordt door meerdere grote vendoren gebruikt in clouddiensten en datacenters. Het is een open-source implementatie van UEFI en wordt gebruikt om met name servers in grote datacenters op te starten. PXE bewaart een image van een OS, dat later door apparatuur via DHCP wordt opgevraagd. Deze OS kan dus gemanipuleerd worden op UEFI-niveau.
Het feit dat de kwetsbaarheden zich in dit opstartproces bevinden, maakt het een stuk lastiger om te detecteren of te verwijderen. Endpoint security-oplossingen zijn niet in staat om UEFI-infecties op te sporen, terwijl deze infecties juist veel controle bieden aan een aanvaller.
PixieFail
De negen PXE-kwetsbaarheden worden door Quarkslab als geheel aangeduid als “PixieFail”. Volgens de onderzoekers kunnen aanvallers het relatief eenvoudig exploiteren. Aanvallers hoeven geen fysieke toegang te hebben tot de client of de bootserver, stellen de onderzoekers. Wie al toegang heeft tot een getroffen netwerk, kan al andere apparatuur van een kwaadaardige UEFI voorzien. Hieronder kunnen ook cloudklanten en medewerkers vallen.
Momenteel is bekend dat AMI, Insyde, Intel en Phoenix door de kwetsbaarheid getroffen zijn. Toshiba is dat niet, maar van talloze andere vendoren is nog niet bekend of ze kwetsbaar zijn. Daarbij gaat het om onder meer Microsoft, Google, Dell, Cisco, ARM en HP.
De negen kwetsbaarheden zijn:
- CVE-2023-45229
- CVE-2023-45230
- CVE-2023-45231
- CVE-2023-45232
- CVE-2023-45233
- CVE-2023-45234
- CVE-2023-45235
- CVE-2023-45236
- CVE-2023-45237
De kwetsbaarheden zijn nog niet voorzien van een CVSS-score, maar TianoCore.org heeft al wel de ernst van elke individuele CVE geduid. De scores lopen tussen de 5.3 en 8.3 (schaal 0-10), met verschillende mogelijke effecten. Zo leiden sommige tot infinite loops en andere tot buffer overflows, maar gezamenlijk kunnen ze leiden tot de hierboven omschreven infiltraties. Het laat andermaal zien dat dergelijke scores op zichzelf niet al te veelzeggend zijn, zoals we onlangs omschreven.
Lees ook: Wanneer is een kritieke kwetsbaarheid daadwerkelijk ernstig?
Aangezien de vendoren vooraf ingelicht zijn, zijn er al verschillende patches beschikbaar. Zo biedt AMI al een public advisory met informatie over maatregelen die te nemen zijn. Microsoft stelt dat een aanvaller eerst een kwaadaardige server op moet zetten binnen een netwerk, maar CRO bij Quarkslab Iván Arce spreekt dit tegen. Later verklaarde Microsoft dat als een aanvaller network-packets kan onderscheppen en versturen, men een server kan nadoen binnen het netwerk.
De daadwerkelijke impact van deze kwetsbaarheden moet dus nog duidelijk worden. Echter is het zorgwekkend dat er een exploitatie mogelijk is van UEFI-firmware op een klaarblijkelijk eenvoudige manier.
2 dagen geleden
