Vulnerabilità PixieFail UEFI: Rischio di Esecuzione Remota di Codice, DoS e Furto Dati
Il testo rivela la presenza di gravi vulnerabilità di sicurezza, denominate PixieFail, nell’implementazione UEFI (Unified Extensible Firmware Interface), ampiamente utilizzata nei moderni computer.
Coinvolgendo il kit di sviluppo TianoCore EFI Development Kit II (EDK II), questi difetti potrebbero consentire attacchi di esecuzione remota di codice, negazione del servizio (DoS), avvelenamento della cache DNS e furto di informazioni sensibili.
Le carenze coinvolgono i firmware UEFI di importanti attori come AMI, Intel, Insyde e Phoenix Technologies, responsabili dell’avvio del sistema operativo.
Il kit di sviluppo EDK II utilizza il proprio stack TCP/IP chiamato NetworkPkg per abilitare funzionalità di rete durante la fase iniziale Preboot eXecution Environment (PXE), consentendo la gestione in assenza di un sistema operativo in esecuzione.
In termini più semplici, si tratta di un’interfaccia client-server per avviare dispositivi dalla loro scheda di interfaccia di rete (NIC), permettendo la configurazione e l’avvio remoti di computer in rete non ancora caricati con un sistema operativo.
Le vulnerabilità identificate da Quarkslab includono bug di overflow, letture out-of-bounds, cicli infiniti e l’uso di un debole generatore di numeri pseudocasuali (PRNG).
Queste vulnerabilità possono portare ad attacchi di avvelenamento DNS e DHCP, fuga di informazioni, negazione del servizio e attacchi di inserimento dati ai livelli IPv4 e IPv6.
Il CERT Coordination Center (CERT/CC) avverte che l’impatto e l’exploitability di queste vulnerabilità dipendono dalla specifica build firmware e dalla configurazione predefinita del boot PXE.
Gli attaccanti all’interno della rete possono sfruttare queste debolezze per eseguire codice remoto, avviare attacchi DoS, condurre avvelenamento della cache DNS o estrarre informazioni sensibili.