Мы продолжаем сообщать вам о новых атаках и о том, какие системы могут быть им подвержены. На этот раз неприятная история коснулась Unified Extensible Firmware Interface (UEFI) (единый интерфейс EFI, заменяющий BIOS и предназначенный для улучшения совместимости программного обеспечения).
Координационный центр CERT на базе университета Карнеги-Меллона опубликовал три отдельных информационных сообщения о дырах в безопасности, выявленных исследователями Рафлем Войтсзаком (Rafal Wojtczuk) из компании Bromium и Кори Калленбергом (Corey Kallenberg) из корпорации Mitre.
Первый дефект определенный экспертами – CVE-2014-8274. Он может быть использован локальным аутентифицированным злоумышленником, для того чтобы обойти прошивку защиты записи. По словам исследователей, эта проблема существует, так как доступ к загрузочному скрипту, используемого EFI S3 Resume Boot Path, не ограничен как следует.
«Аутентифицированному локальному злоумышленнику удастся обойти безопасную загрузку и/или выполнить самовольную перепрошивку, несмотря на наличие обновлений прошивки. Кроме того, злоумышленник может произвольно считывать или записывать данные на SMRAM. И наконец, злоумышленник может повредить платформу прошивки и привести систему к неработоспособности» – отметил Координационный центр CERT в своем сообщении.
CVE-2014-8273 – вторая уязвимость, которая влияет на определенные чипсеты Intel. Это может быть использовано локальным аутентифицированным злоумышленником, чтобы обойти механизм защиты записи BIOS и записать вредоносный код в платформу прошивки.
Еще одна дыра в безопасности – уязвимость «переполнение буфера» (buffer overflow) CVE-2014-8271 в базовой реализации UEFI EDK1.
Было подтверждено, что CVE-2014-8271 влияет на программные продукты Insyde. UEFI прошивки от American Megatrends Incorporated (AMI) и Phoenix Technologies подвержены влиянию CVE-2014-8273, а уязвимость CVE-2014-8274 влияет на AMI, Phoenix и Intel. Dell также оказался в списке организаций, по всей вероятности, подверженных влиянию. По всем правилам, с целью принятия предупреждающих действий, руководство этих компаний были подробно проинформировано.
