Uma cadeia de 9 vulnerabilidades no ambiente de execução pré-inicialização da UEFI (PXE), apelidado de PixieFail, foi descoberto em uma pesquisa recente. Como o processo de inicialização da rede é um vetor de ataque bastante novato, apenas algumas vulnerabilidades receberam status de alta gravidade. Apesar disso, seu grande volume, junto com a localização em locais bastante sensíveis, pode criar uma bagunça se alguém conseguir explorar essas vulnerabilidades em uma cadeia.
Analistas descobrem inúmeras vulnerabilidades no TianoCore EDK II
A extensa pesquisa da Quarklabs revela o total geral de nove vulnerabilidades presente em uma implementação UEFI amplamente utilizada da TianoCore, chamado EDK II. Esta variante de código aberto da EFI unificada está tendo aplicações particularmente grandes em diversas corporações, tanto em suas próprias máquinas quanto em produtos. Entre outras funções, ele contém uma opção de inicialização de rede e um monte de funcionalidades relacionadas, que é onde todas as vulnerabilidades estão concentrados.
A inicialização da rede em si depende de um Ambiente de execução pré-inicialização (PXE), frequentemente abreviado para inicialização Pixie. Este lugar é, eventualmente, o anfitrião de todas as nove falhas de segurança. Nem todas as vulnerabilidades da coleção PixieFail são da maior gravidade, mas pelo 3 deles, O NIST atribuiu o Pontuação CVSS de 8.3/10.
Lista de vulnerabilidades do PixieFail
| Vulnerabilidade | Pontuação de gravidade | Descrição |
|---|---|---|
| CVE-2023-45229 | 6.5 | Dados fora dos limites lidos com uma mensagem de publicidade DHCPv6 criada |
| CVE-2023-45230 | 8.3 | Possibilidade de estouro de buffer usando uma opção de ID de servidor criada |
| CVE-2023-45231 | 6.5 | Dados fora dos limites lidos com uma mensagem ND Redirect especificamente criada |
| CVE-2023-45232 | 7.5 | Possibilidade de colocar a máquina em loop de inicialização infinito com um cabeçalho de opção de destino errado |
| CVE-2023-45233 | 7.5 | Possibilidade de colocar a máquina em loop de inicialização infinito com uma opção PadN errada |
| CVE-2023-45234 | 8.3 | Possibilidade de estouro de buffer usando uma opção de servidores DNS criada |
| CVE-2023-45235 | 8.3 | Possibilidade de estouro de buffer usando uma opção de ID de servidor criada da mensagem de anúncio DHCPv6 |
| CVE-2023-45236 | 5.8 | Previsibilidade do número de sequência inicial do TCP |
| CVE-2023-45237 | 5.3 | Fraqueza do gerador de números pseudo-aleatórios |
Como você pode ver, a lista é bastante vasta, com vulnerabilidades de buffer overflow classificado como o mais grave. Tudo isso se deve ao motivo pelo qual tais falhas podem forçar a execução arbitrária de códigos. Tal ação é útil tanto para o acesso inicial quanto para o movimento lateral dentro do ambiente. E já que estamos falando em fazer toda essa bagunça quase no bare metal, os resultados podem ser bastante ruins.
Fornecedores oferecem patches para vulnerabilidades do PixieFail
Ao detectar as vulnerabilidades de volta no início de agosto 2023, A Quarkslab contatou uma seleção de fornecedores de software que usam EDK II em seus produtos. Entre eles estão nomes conhecidos como Arm, Software Insyde, Microsoft, Megatendências Americanas e Phoenix Technologies. Ao longo de meio ano, ambos os fornecedores, autoridades e pesquisadores elaboraram sobre a criação de uma solução sem vazar nenhuma informação antes que as correções sejam implementadas.
Como resultado, em janeiro 16, 2024, quando a análise detalhada do Qarkslab foi publicada, todos os fornecedores notificados resolveram o problema. Então, verifique as atualizações para o seu firmware – pode contém o patch que corrige PixieFail de uma só vez.
