Vulnerabilità nel firmware UEFI
Una vulnerabilità nel firmware UEFI dei sistemi di bordo di ASRock, ASUS, GIGABYTE e MSI impedisce la corretta inizializzazione delle protezioni IOMMU durante l’avvio del sistema, esponendo i sistemi ad attacchi di accesso diretto alla memoria (DMA) prima che le difese a livello di sistema operativo si attivino. La vulnerabilità, tracciata come VU#382314 da CERT/CC e associata a più CVE, consente agli aggressori fisicamente presenti con dispositivi PCIe malintenzionati di leggere o modificare la memoria durante la fase di avvio.
Cause e conseguenze
La causa della vulnerabilità è “del meccanismo di protezione” dovuta a una configurazione errata dell’IOMMU durante il processo di avvio UEFI. Ciò lascia una finestra critica in cui i dispositivi PCIe periferici possono eseguire operazioni di DMA non restrittive, bypassando le politiche di sicurezza di fase precoce. Il vettore di attacco consente sia l’esfiltrazione dei dati che l’iniezione di codice pre-avvio, minacciando la riservatezza e l’integrità della memoria del sistema.
Sistemi interessati e azioni correttive
La vulnerabilità interessa i sistemi UEFI basati su piattaforme Intel e AMD di quattro grandi vendor: ASRock, ASUS, GIGABYTE e MSI. necessario applicare gli aggiornamenti del firmware e seguire le istruzioni specifiche per abilitare la protezione IOMMU completa nel BIOS. Gli amminilayerri e gli utenti finali dovrebbero applicare immediatamente gli aggiornamenti del firmware, abilitare manualmente la protezione DMA completa nel BIOS e evitare l’uso di dispositivi di espansione PCIe non attendibili, soprattutto in ambienti fisici non controllati. inoltre necessario verificare le politiche di accesso fisico per i sistemi potenzialmente vulnerabili durante le fasi di pre-avvio.
