9 UEFI-fouten stellen computers bloot aan aanvallen op afstand

9 UEFI-fouten stellen computers bloot aan aanvallen op afstand


Hackers maken gebruik van UEFI-fouten om ongeautoriseerde toegang te krijgen tot de firmware van een systeem, waardoor ze hardnekkige malware kunnen implanteren of het opstartproces kunnen manipuleren.

Dit biedt een heimelijk toegangspunt waarmee aanvallers traditionele beveiligingsmaatregelen kunnen omzeilen en de controle over het aangetaste systeem kunnen behouden.

Cyberbeveiligingsonderzoekers van Quarkslab hebben onlangs “PixieFAIL” ontdekt, een set van 9 UEFI-fouten die computers kwetsbaar maken voor aanvallen op afstand en netwerkkaping.

PixieFAIL – 9 UEFI-fouten

Deze negen kwetsbaarheden hebben invloed op de IPv6-netwerkprotocolstack van EDK II, TianoCore’s open-source referentie-implementatie van UEFI.

Document

Gratis webinar

Het probleem wordt nog verergerd door zero-day kwetsbaarheden zoals MOVEit SQLi, Zimbra XSS en meer dan 300 kwetsbaarheden die elke maand worden ontdekt. Vertragingen in het verhelpen van deze kwetsbaarheden leiden tot compliance problemen, deze vertragingen kunnen worden geminimaliseerd met een unieke functie op AppTrana die u helpt om binnen 72 uur een “Zero vulnerability report” te krijgen.

Kwetsbaarheden in de netwerkstack van EDK II komen aan het licht tijdens het opstarten van het netwerk in bedrijfssystemen.

Deze methode is gebruikelijk in datacenters en HPC-omgevingen die de implementatie van besturingssystemen en software op talloze computernodes stroomlijnen.

UEFI’s IP-stack in de vroege opstartfase stelt een beveiligingsrisico van lokale netwerkaanvallen bloot.

PXE werd in 1998 geboren door Intel en het vergemakkelijkt het opstarten van het netwerk door middel van protocollen zoals DHCP, UDP en TFTP.

Het is opgenomen in UEFI en is in 2010 uitgebreid naar IPv6 om het aanvalsoppervlak te vergroten met aanvullende protocollen.

Tianocore’s EDK II is een open-source UEFI-implementatie die ontwikkelaars aantrekt voor hun eigen projecten.

Het onderzoeken van op afstand getriggerde UEFI-kwetsbaarheden roept vragen op over mogelijke uitbuiting en persistentie.

Voor opstarten via het netwerk haalt een client de code in stappen op via TFTP. DHCP maakt het mogelijk IP-configuratie en Boot Server-lijst op te halen. PXE gebruikt aparte DHCP en proxy DHCP diensten om bestaande DHCP servers niet aan te hoeven passen.

De client selecteert een Boot Server, verkrijgt NBP-parameters, downloadt, verifieert en voert uit. PXE over IPv6 maakt gebruik van DHCPv6 en TFTP en vereist een werkend DNS-protocol voor Boot Server hostnamen.

PXE-opstartproces (Bron – Quarkslab)

Betrokken leveranciers

Hieronder hebben we alle betrokken leveranciers genoemd:-

  • Tianocore EDK II UEFI-implementatie
  • Arm Ltd
  • Insyde Software
  • American Megatrends Inc. (AMI)
  • Phoenix Technologies Inc.
  • Microsoft Corporation

Ontdekte kwetsbaarheden

Hieronder hebben we alle kwetsbaarheden vermeld:-

  • CVE-2023-45229: Integer underflow bij het verwerken van IA_NA/IA_TA opties in een DHCPv6 Adverteer bericht
  • CVE-2023-45230: Bufferoverloop in de DHCPv6-client via een lange Server ID-optie
  • CVE-2023-45231: Out of Bounds gelezen bij het afhandelen van een ND Redirect-bericht met afgekorte opties
  • CVE-2023-45232: Oneindige lus bij het parsen van onbekende opties in de Destination Options header
  • CVE-2023-45233: Oneindige lus bij het parsen van een PadN optie in de Destination Options header
  • CVE-2023-45234: Bufferoverloop bij het verwerken van DNS Servers optie in een DHCPv6 Adverteer bericht
  • CVE-2023-45235: Bufferoverloop bij het verwerken van de Server ID optie van een DHCPv6 proxy Adverteer bericht
  • CVE-2023-45236: Voorspelbare TCP beginreeksnummers
  • CVE-2023-45237: Gebruik van een zwakke pseudo-willekeurige getallengenerator

Zorg ervoor dat je waakzaam blijft en altijd robuuste beveiligingsoplossingen gebruikt om bedreigingen zoals deze te beperken en je netwerk af te schermen.

Probeer de kosteneffectieve penetratietestservices van Kelltron om de beveiliging van digitale systemen te evalueren. Gratis demo beschikbaar.



Source link

Internet Blabla

Internet blabla, probeert de beste cyber security content op het internet te verzamelen en in een overzichtelijk geheel te presenteren. Er zijn meerdere artikelen die aangeleverd worden door lezers en cyber security bedrijven, daarnaast zijn er een aantal bloggers en journalisten actief met het plaatsen van actuele cyber security vraagstukken.