onlangs AMD heeft het werk aangekondigd dat het heeft gedaan vermogen los een aantal kwetsbaarheden op die uw producten beïnvloeden. De kwetsbaarheden waren ontdekt door beveiligingsonderzoeker Danny Odler, dat in zijn rapport onthult dat de fouten in de AMD Mini-pc zitten die aanvallers in staat zouden kunnen stellen om beveiligde firmware te manipuleren en willekeurige code uit te voeren.
Deze reeks kwetsbaarheden was genoemd als "SMM Callout" (CVE-2020-12890) en het onderzoek naar de bugs toont de volledige exploitatie van 1 van de 3 kwetsbaarheden die ze zijn gevonden in de UEFI-afbeelding.
SMM-toelichting stelt u in staat controle te krijgen over UEFI-firmware en code uit te voeren op het SMM-niveau (Systeembeheermodus). Een aanval vereist fysieke toegang tot de computer of toegang tot een systeem met beheerdersrechten.
In het geval van een succesvolle aanval, een aanvaller kan de AGESA-interface gebruiken (Generieke AMD ingekapselde software-architectuur) om willekeurige code uit te voeren Het kan niet worden gedetecteerd door het besturingssysteem.
De kwetsbaarheden zijn aanwezig in de code die is opgenomen in de UEFI-firmware, uitgevoerd in de SMM-modus (Ring -2), die een hogere prioriteit heeft dan de hypervisormodus en de nulbeschermingsring, en die onbeperkte toegang heeft tot al het geheugen van het systeem .
Wanneer de code wordt uitgevoerd in SMM, al het fysieke geheugen is toegankelijk en niets kan u ervan weerhouden kritieke gegevens te overschrijven op de fysieke pagina's van de kernel of hypervisor. SMM-code fungeert als een soort mini-besturingssysteem: het heeft I / O-services, geheugentoewijzingsservices, mogelijkheid om privé-interfaces in kaart te brengen, SMM-interruptbeheer, gebeurtenismeldingen en meer.
Samenvattend: SMM-code is de meest geprivilegieerde code die op de CPU wordt uitgevoerd, de code is volledig verborgen voor het actieve besturingssysteem, kan niet worden gewijzigd door de kernel en zelfs door DMA-apparaten en de belangrijkste SMM-code heeft toegang tot elk fysiek geheugen.
Bv na het verkrijgen van toegang naar het besturingssysteem als gevolg van het misbruiken van andere kwetsbaarheden of social engineering-methoden, een aanvaller kan gebruik maken van kwetsbaarheden door SMM Callout om de veilige opstartmodus te omzeilen (UEFI beveiligd opstarten), introduceer kwaadaardige code of rootkits onzichtbaar voor het systeem in SPI Flash, en ook voor aanvallen op hypervisors voor omzeil de mechanismen voor integriteitscontrole van virtuele omgevingen.
"AMD is op de hoogte van nieuw onderzoek met betrekking tot een mogelijke kwetsbaarheid in AMD-softwaretechnologie die wordt geleverd aan moederbordfabrikanten voor gebruik in hun Unified Extensible Firmware Interface (UEFI) -infrastructuur en is van plan om de levering van bijgewerkte versies te voltooien die zijn ontworpen om het probleem aan het einde van Juni 2020. »luidt de aankondiging van AMD.
“De gerichte aanval die in het onderzoek wordt beschreven, vereist geprivilegieerde fysieke of administratieve toegang tot een systeem op basis van een AMD-laptop of embedded processors. Als dit toegangsniveau wordt verkregen, kan een aanvaller mogelijk AMD's Generic Encapsulated Software Architecture (AGESA) manipuleren om willekeurige code uit te voeren zonder te worden gedetecteerd door het besturingssysteem.
Kwetsbaarheden zijn het gevolg naar een fout in de SMM-code als gevolg van vanwege het ontbreken van verificatie van het adres van de buffer target wanneer de functie SmmGetVariable () wordt aangeroepen in de SMI 0xEF-handler.
Vanwege deze bug kan een aanvaller willekeurige gegevens naar het interne SMM-geheugen (SMRAM) schrijven en deze uitvoeren als code met SMM-rechten. AMD merkte op dat alleen bepaalde processors gelanceerd tussen 2016 en 2019 ze zijn kwetsbaar.
"SMM is de meest geprivilegieerde code die op de x86-CPU kan draaien, waardoor het elk laag-niveau component kan aanvallen, inclusief Kernel en Hypervisor." lees de analyse gepubliceerd door Odler.
De chipverkoper heeft de meeste bijgewerkte versies van AGESA al aan zijn partners geleverd. AMD moedigt gebruikers aan om hun systemen up-to-date te houden door de nieuwste patches te installeren.
Als u er meer over wilt weten, kunt u het rapport raadplegen via de volgende link.
bron: https://medium.com