PixieFAIL：数百万台 PC 和笔记本电脑容易受到 UEFI 攻击

Tianocore EDK II 中的 9 个漏洞为黑客提供了完全的恶意行动自由。

法国公司 Quarkslab 的研究人员在 Tianocore EDK II （ UEFI规范的开放实现）中发现了许多严重漏洞，可利用这些漏洞进行远程代码执行。

9 个漏洞统称为 PixieFAIL，可导致拒绝服务、信息泄露、远程代码执行、DNS 缓存中毒和网络会话劫持。它们是在检查 NetworkPkg 时发现的，该 NetworkPkg 提供用于网络配置的驱动程序和应用程序。

该漏洞模块被许多制造商使用，包括微软、ARM、Insyde、Phoenix Technologies 和 AMI。Quarkslab 的 CTO 还确认了 Microsoft 的 Tianocore EDK II 改编项目 Project Mu 中存在易受攻击的代码。

这九个漏洞在以下 CVE 标识符下进行了描述：

• CVE-2023-45229：处理 DHCPv6 Advertise 消息中 IA_NA/IA_TA 选项时存在整数缺陷；
• CVE-2023-45230：由于长服务器 ID 选项导致 DHCPv6 客户端出现缓冲区溢出；
• CVE-2023-45231：处理 ND 重定向消息中的截断选项时出现越界读取；
• CVE-2023-45232：解析 Destination Options 标头中的未知选项时出现无限循环；
• CVE-2023-45233：解析 Destination Options 标头中的 PadN 选项时出现无限循环；
• CVE-2023-45234：处理 DHCPv6 通告消息中的 DNS 服务器时出现缓冲区溢出；
• CVE-2023-45235：处理 DHCPv6 代理广告消息中的服务器 ID 参数时缓冲区溢出；
• CVE-2023-45236：可预测的 TCP 起始序列号；
• CVE-2023-45237：使用弱伪随机数生成器。

Quarkslab 发布了一个 PoC 漏洞来演示前七个漏洞，允许防御者创建签名来检测感染尝试。

CERT-CC 协调中心发布了一份通知，列出了受影响和潜在易受攻击的制造商，以及实施补丁和保护措施的建议。中心代表确认 Insyde、AMI、Intel 和 Phoenix Technologies 受到影响，但其漏洞的具体状态仍不清楚。

转自安全客，原文链接：https://www.anquanke.com/post/id/292722