统一可扩展固件接口(UEFI)是一组启动操作系统的例程,带有近十几个漏洞,当这些漏洞链接在一起时,可用于在固件级别部署恶意软件。
这是根据Quarkslab的一份新报告得出的,该报告详细介绍了这些缺陷以及概念验证解决方案。
这些缺陷是在与IPv6相关的功能中发现的,当配置为使用IPv6时,可以在预启动执行环境(PXE)中利用这些缺陷。由于该环境通常被称为Pixieboot,因此研究人员将该漏洞命名为PixieFail。正如ArsTechnica所解释的那样,Pixieboot是企业通常用来启动大量设备(例如服务器)的机制。在这种情况下,操作系统并不位于端点本身,而是位于中央服务器上。正在启动的设备使用动态主机配置协议来查找服务器,然后请求操作系统映像。
理论上,如果一个人对目标网络有哪怕最轻微的访问权限(例如低级别员工、拥有云帐户的客户、预装恶意软件或访问客户帐户的黑客),他们就可以使用它让端点下载恶意固件映像而不是干净的固件映像。
LATESTVIDEOSFROMTECHRADAR
这些漏洞被跟踪为CVE-2023-45229、CVE-2023-45230、CVE-2023-45231、CVE-2023-45232、CVE-2023-45233、CVE-2023-45234、CVE-2023-45235、CVE-2023-45235、CVE-2023-45236和CVE-2023-45237。
Arm、AMI、Insyde、PhoenixTechnologies和Microsoft据称都容易受到PixieFail的影响。ArsTechnica补充说,制造商目前正在向客户推送更新,并表示有些制造商已经发布了补丁。例如,AMI已经发布了补丁,而微软目前正在“采取适当的行动”。
Arm、Insyde和Phoenix等其他制造商尚未发表声明。