recentemente AMD ha annunciato il lavoro svolto potenza risolvere una serie di vulnerabilità che influiscono sui tuoi prodotti. Le vulnerabilità erano scoperto dal ricercatore di sicurezza Danny Odler, che nel suo rapporto rivela che i difetti risiedono nell'AMD Mini PC che potrebbe consentire agli aggressori di manipolare firmware sicuro ed eseguire codice arbitrario.
Questa serie di vulnerabilità erano denominato "Callout SMM" (CVE-2020-12890) e l'indagine sui bug mostra lo sfruttamento completo di 1 delle 3 vulnerabilità che sono stati trovati nell'immagine UEFI.
Callout SMM consente di ottenere il controllo sul firmware UEFI ed eseguire il codice a livello di SMM (Modalità di amministrazione del sistema). Un attacco richiede l'accesso fisico al computer o l'accesso a un sistema con diritti di amministratore.
In caso di attacco riuscito, un utente malintenzionato può utilizzare l'interfaccia AGESA (Architettura software incapsulata AMD generica) per eseguire codice arbitrario non può essere rilevato dal sistema operativo.
Le vulnerabilità sono presenti nel codice incluso nel firmware UEFI, eseguito in modalità SMM (Ring -2), che ha una priorità maggiore rispetto alla modalità hypervisor e all'anello di protezione zero, e che ha accesso illimitato a tutta la memoria del sistema.
Quando il codice viene eseguito in SMM, È possibile accedere a tutta la memoria fisica e nulla può impedirti di sovrascrivere i dati critici nelle pagine fisiche del kernel o dell'hypervisor. Il codice SMM agisce come una sorta di mini sistema operativo: ha servizi di I / O, servizi di mappatura della memoria, capacità di mappare interfacce private, gestione degli interrupt SMM, notifiche di eventi e altro.
Riassumendo: il codice SMM è il codice più privilegiato eseguito sulla CPU, il codice è completamente nascosto dal sistema operativo in esecuzione, non può essere modificato dal kernel e nemmeno dai dispositivi DMA e il codice SMM più importante può accedere a qualsiasi memoria fisica.
Ad esempio, dopo aver ottenuto l'accesso al sistema operativo a seguito dello sfruttamento di altre vulnerabilità o metodi di ingegneria sociale, un utente malintenzionato può utilizzare le vulnerabilità di SMM Callout per bypassare la modalità di avvio sicuro (avvio protetto UEFI), introdurre codice dannoso o rootkit invisibile al sistema in SPI Flash e anche per gli attacchi agli hypervisor per aggirare i meccanismi di controllo dell'integrità degli ambienti virtuali.
"AMD è a conoscenza di nuove ricerche relative a una potenziale vulnerabilità nella tecnologia software AMD fornita ai produttori di schede madri per l'utilizzo nella loro infrastruttura UEFI (Unified Extensible Firmware Interface) e prevede di completare la consegna di versioni aggiornate progettate per mitigare il problema alla fine del Giugno 2020. »si legge nell'annuncio di AMD.
“L'attacco mirato descritto nella ricerca richiede un accesso fisico o amministrativo privilegiato a un sistema basato su un laptop AMD o su processori embedded. Se viene acquisito questo livello di accesso, un utente malintenzionato potrebbe potenzialmente manipolare l'architettura software incapsulata generica (AGESA) di AMD per eseguire codice arbitrario senza essere rilevato dal sistema operativo.
Le vulnerabilità sono dovute a un errore nel codice SMM dovuto a alla mancata verifica dell'indirizzo del buffer target quando la funzione SmmGetVariable () viene chiamata nel gestore SMI 0xEF.
A causa di questo bug, un utente malintenzionato può scrivere dati arbitrari nella memoria SMM interna (SMRAM) ed eseguirli come codice con diritti SMM. AMD ha notato che solo alcuni processori lanciato tra il 2016 e il 2019 sono affetti da vulnerabilità.
"SMM è il codice più privilegiato che può essere eseguito sulla CPU x86, consentendogli di attaccare qualsiasi componente di basso livello, inclusi kernel e hypervisor." leggi l'analisi pubblicata da Odler.
Il venditore di chip ha già consegnato la maggior parte delle versioni aggiornate di AGESA ai suoi partner. AMD incoraggia gli utenti a mantenere aggiornati i propri sistemi installando le patch più recenti.
Se vuoi saperne di più, puoi consultare il report andando al seguente link.
fonte: https://medium.com