前言

自Eclypsium的研究人員在華碩和華擎的固件中發(fā)現(xiàn)了緩沖區(qū)溢出漏洞，該漏洞的源頭在于UEFI固件更新功能，使得黑客能夠遠(yuǎn)程發(fā)起中間人攻擊。研究人員在Black Hat 2018大會(huì)上展示了華碩和華擎產(chǎn)品的固件更新機(jī)制存在的缺陷。具體來(lái)說(shuō)，是統(tǒng)一可擴(kuò)展固件接口(UEFI)存在問(wèn)題，這是一種操作系統(tǒng)和平臺(tái)固件之間的軟件接口規(guī)范。

Eclypsium創(chuàng)始人兼首席執(zhí)行官Yuriy Bulygin告訴媒體：“這是第一次公開披露的對(duì)UEFI的遠(yuǎn)程攻擊。到目前為止，大多數(shù)相關(guān)研究都需要在本地運(yùn)行惡意代碼，但我們發(fā)現(xiàn)網(wǎng)絡(luò)中的這些漏洞現(xiàn)在可以被遠(yuǎn)程利用。”

UEFI取代BIOS的步伐越來(lái)越快(英特爾計(jì)劃從2020年起所有的推出芯片組僅使用UEFI)。雖然BIOS和UEFI都是在操作系統(tǒng)開始載入之前啟動(dòng)的，但使用UEFI啟動(dòng)時(shí)間更短，并支持更容量更大的硬盤驅(qū)動(dòng)器。此外還有一項(xiàng)功能是BIOS不支持的，即通過(guò)網(wǎng)絡(luò)遠(yuǎn)程更新UEFI固件，諸如華碩、華擎和惠普等廠商的產(chǎn)品均支持該功能。

[[239611]]

問(wèn)題解構(gòu)

當(dāng)華碩和華擎產(chǎn)品固件啟用更新機(jī)制時(shí)，它使用動(dòng)態(tài)主機(jī)配置協(xié)議配置網(wǎng)絡(luò)，然后向遠(yuǎn)程服務(wù)器發(fā)出純HTTP請(qǐng)求，以檢查UEFI BIOS固件是否可以更新。這個(gè)過(guò)程中沒有SSL保護(hù)，也沒有驗(yàn)證是否與正確的遠(yuǎn)程服務(wù)器進(jìn)行通信。

也就是說(shuō)，如果通過(guò)MITM攔截此請(qǐng)求或?qū)⒋苏?qǐng)求重定向到其他服務(wù)器(例如DNS/ARP/路由污染等)，就可以修改返回給客戶端的響應(yīng)并利用該漏洞發(fā)送惡意代碼。

華碩和華擎用于驗(yàn)證遠(yuǎn)程服務(wù)器響應(yīng)的代碼未能正確驗(yàn)證文件中某些嵌入字段的大小，這樣一來(lái)，只要檢測(cè)到新的文件版本號(hào)，就可以導(dǎo)致緩沖區(qū)溢出和任意代碼的執(zhí)行。在硬件固件保護(hù)尚未啟用的情況下，黑客可以將惡意代碼寫入SPI閃存，每次系統(tǒng)啟動(dòng)后都會(huì)運(yùn)行，這樣的影響無(wú)法從操作系統(tǒng)的層面加以解決。

由于代碼擁有高級(jí)權(quán)限并且在操作系統(tǒng)加載之前運(yùn)行，黑客可以利用它來(lái)執(zhí)行一系列操作：

• 使用NTFS EFI驅(qū)動(dòng)將惡意軟件植入操作系統(tǒng);
• 使用NTFS EFI驅(qū)動(dòng)從硬盤驅(qū)動(dòng)器中竊取文件或使用勒索軟件加密它們;
• 安裝SMM rootkit，然后讓操作系統(tǒng)正常加載以攻擊其他數(shù)據(jù)。

研究人員表示，華擎和華碩都已收到該漏洞的通知。華擎已刪除該更新機(jī)制，但華碩尚未提供解決措施。

總結(jié)

該漏洞揭示了平臺(tái)固件相關(guān)應(yīng)用帶來(lái)風(fēng)險(xiǎn)，這是Yuriy在今年的Black Hat 2018大會(huì)上密切關(guān)注的一個(gè)議題。

“我們花費(fèi)了大量時(shí)間來(lái)保護(hù)應(yīng)用軟件并尋找該領(lǐng)域中的漏洞，但很多針對(duì)的固件惡意活動(dòng)非常隱蔽，難以被人察覺。整個(gè)行業(yè)都存在這個(gè)問(wèn)題，我們需要傾注更多的注意力防范來(lái)自固件的風(fēng)險(xiǎn)。”Yuriy總結(jié)道。