UEFI — это аббревиатура Unified Extensible Firmware Interface. Это технология, обычно используемая современными компьютерами. Однако если в этой базовой технологии возникает уязвимость, это тоже очень плохо, поскольку бэкдоры, внедренные через UEFI, нелегко обнаружить или удалить. Недавно исследователи обнаружили девять уязвимостей в прошивках UEFI пяти провайдеров. Исследователи назвали эти уязвимости PixieFail. Даже пользователи с низкими разрешениями могут использовать уязвимости для запуска атак.

Успешный хакер сможет установить вредоносную прошивку, которая будет запускать вредоносное ПО до загрузки операционной системы, но эта уязвимость в основном затрагивает предприятия и центры обработки данных.

Загрузка PXE на основе IPv6:

PXE — это метод, используемый предприятиями для загрузки большого количества устройств. PXE не сохраняет операционную систему на устройстве. Вместо этого образ системы хранится на загрузочном сервере. Терминальное устройство подключается к загрузочному серверу через PXE для запуска операционной системы.

PXE специально разработан для простоты использования, согласованности и обеспечения качества в центрах обработки данных и облачных средах. ИТ-администраторы могут использовать его для пакетного обновления, настройки и запуска операционных систем.

Уязвимость, появившаяся на этот раз, находится в PXE. Если IPv6-соединение настроено для запуска сервера, злоумышленник может использовать уязвимость для загрузки вредоносного образа прошивки вместо образа прошивки, настроенного ИТ-администратором.

После внедрения в UEFI вредоносное ПО может стать постоянным, поскольку обычное программное обеспечение безопасности может не обнаружить, что UEFI заражен, или не сможет удалить его после обнаружения.

Исследователи говорят:

Злоумышленнику не требуется физический доступ к терминальному устройству и загрузочному серверу. Злоумышленнику достаточно иметь доступ к сети, в которой работают эти системы, и взаимодействовать с инструментами для захвата пакетов данных, а затем внедрять и передавать их.

Некоторые из этих уязвимостей могут быть вызваны отправкой злоумышленником вредоносных пакетов клиенту в ответе на запрос при загрузке конечного устройства.

Отключите PXE и ​​IPv6:

Более простой способ предотвратить эту уязвимость — напрямую отключить запуск PXE и ​​IPv6. Большинство домашних пользователей практически не используют PXE, поэтому их можно отключить напрямую.

Кроме того, эта уязвимость затрагивает только загрузочные серверы, подключенные через IPv6. Если предприятие или центр обработки данных использует соединения IPv4, это не повлияет.

Исправить ошибку:

В настоящее время поставщики прошивок UEFI последовательно выпускают новые версии прошивок и распространяют их среди клиентов. Например, компания AMI подтвердила, что уязвимость затрагивает прошивку серии OptioV, и в настоящее время выпустила новую версию прошивки и распространила ее среди клиентов.

Другие поставщики прошивок все еще обновляют свои прошивки. В число затронутых поставщиков встроенного ПО входят: ArmLtd., Insyde, AMI, Phoenix Technologies и Microsoft.

Ответ Microsoft:

В Microsoft заявили, что компания предпринимает соответствующие действия, но не раскрыли конкретное содержание этих действий. При этом в Microsoft также неверно заявили, что злоумышленнику также потребуется установить вредоносный сервер в корпоративной интрасети, но исследователи заявили, что это не обязательно.

Наконец, Microsoft также рекомендует отключить их, если вы не используете PXE или другие протоколы. Если вы хотите их использовать, вам также следует настроить протокол шифрования TLS, который может помешать злоумышленникам осуществить перехват «человек посередине».