PixieFAIL:数百万台 PC 和笔记本电脑容易受到 UEFI 攻击

Tianocore EDK II 中的 9 个漏洞为黑客提供了完全的恶意行动自由。

法国公司 Quarkslab 的研究人员在 Tianocore EDK II ( UEFI规范的开放实现)中发现了许多严重漏洞,可利用这些漏洞进行远程代码执行。

9 个漏洞统称为 PixieFAIL,可导致拒绝服务、信息泄露、远程代码执行、DNS 缓存中毒和网络会话劫持。它们是在检查 NetworkPkg 时发现的,该 NetworkPkg 提供用于网络配置的驱动程序和应用程序。

该漏洞模块被许多制造商使用,包括微软、ARM、Insyde、Phoenix Technologies 和 AMI。Quarkslab 的 CTO 还确认了 Microsoft 的 Tianocore EDK II 改编项目 Project Mu 中存在易受攻击的代码。

这九个漏洞在以下 CVE 标识符下进行了描述:

  • CVE-2023-45229:处理 DHCPv6 Advertise 消息中 IA_NA/IA_TA 选项时存在整数缺陷;
  • CVE-2023-45230:由于长服务器 ID 选项导致 DHCPv6 客户端出现缓冲区溢出;
  • CVE-2023-45231:处理 ND 重定向消息中的截断选项时出现越界读取;
  • CVE-2023-45232:解析 Destination Options 标头中的未知选项时出现无限循环;
  • CVE-2023-45233:解析 Destination Options 标头中的 PadN 选项时出现无限循环;
  • CVE-2023-45234:处理 DHCPv6 通告消息中的 DNS 服务器时出现缓冲区溢出;
  • CVE-2023-45235:处理 DHCPv6 代理广告消息中的服务器 ID 参数时缓冲区溢出;
  • CVE-2023-45236:可预测的 TCP 起始序列号;
  • CVE-2023-45237:使用弱伪随机数生成器。

Quarkslab 发布了一个 PoC 漏洞来演示前七个漏洞,允许防御者创建签名来检测感染尝试。

CERT-CC 协调中心发布了一份通知,列出了受影响和潜在易受攻击的制造商,以及实施补丁和保护措施的建议。中心代表确认 Insyde、AMI、Intel 和 Phoenix Technologies 受到影响,但其漏洞的具体状态仍不清楚。


转自安全客,原文链接:https://www.anquanke.com/post/id/292722

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞14 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容