法国资安业者Quarkslab本周公布了9个与统一可延伸韧体介面(Unified Extensible Firmware Interface,UEFI)有关的安全漏洞,它们存在于由英特尔开发的UEFI开源参考实现TianoCore EDK II上,可在网路启动程序中遭到利用,允许骇客自远端发动阻断服务攻击、远端程式执行或挟持网路工作阶段,众多业者的产品或服务都受到影响,包括微软、Arm、Insyde Software、American Megatrends Inc(AMI)及Google等。
UEFI是个介于主机板韧体与作业系统之间的软体介面,它是电脑启动时首个执行的程式,会检查并唤醒所需的硬体元件,再将它们移交给作业系统。而Quarkslab则在UEFI的参考实现TianoCore EDK II上发现了9个安全漏洞,涵盖整数下溢漏洞CVE-2023-45229,缓冲区溢位漏洞CVE-2023-45230、CVE-2023-45234与CVE-2023-45235,越界读取漏洞CVE-2023-45231,无限回圈漏洞CVE-2023-45232及CVE-2023-45233,可预测的TCP初始序列号码CVE-2023-45236,以及使用弱的伪随机数生成器CVE-2023-45237,并将它们统称为PixieFAIL。
研究人员指出,PixieFAIL漏洞可于网路启动程序中,遭到处于同一区域网路且未经身分验证的远端骇客利用,进而触发服务阻断攻击,造成资讯外泄,远端程式执行,DNS快取记忆体下毒,以及网路工作阶段遭到挟持等。
透过网路来启动及载入作业系统映像档为企业电脑与伺服器上的标准功能,亦为资料中心及高效能运算环境中的热门选项,而预先启动执行环境(Preboot Execution Environment,PXE)则是一个标准化用户端&伺服器端解决方案的规范,又被称为Pixie Boot,也是PixieFAIL名称的由来。研究人员解释,为了提供网路启动功能,UEFI于驱动程式执行环境(DXE)阶段实现了一个完整的IP堆叠,因而替来自本地网路的攻击开启了大门。
PixieFAIL漏洞除了直接影响TianoCore EDK II之外,也波及了Arm参考解决方案,Insyde Software的Insyde H20 UEFI BIOS,AMI的Aptio OpenEdition,Phoenix Technologies的SecureCore,以及微软的Project Mu,至于Google的ChromeOS原始码虽然含有TianoCore EDK II,但却未使用,于是Google直接于程式码中将它移除。
其实Quarkslab早在去年8月就向CERT-FR 提报了安全漏洞,也提供了当中7个漏洞的概念性验证程式,原本预计于去年的11月2日对外披露,却收到各业者的延后披露要求,且一延再延,从Quarkslab的描述中可看出,该公司对于与各业者协调漏洞披露时程感到非常的沮丧,因为业者不断地要求延后披露,却未提供漏洞修补时程,最终Quarkslab是与CERT/CC敲定了披露时间。