VU#746790: Schwachstellen in SMM-Aufrufen in Gigabyte-UEFI-Firmware-Modulen gefunden
Schwachstellen in System-Management-Modus-Aufrufen (SMM) wurden in UEFI-Modulen von Gigabyte-Firmware identifiziert. Diese Schwachstellen können ausgenutzt werden, um Privilegien zu erhöhen und beliebigen Code im SMM-Umfeld eines UEFI-unterstützten Prozessors auszuführen. Die Unified Extensible Firmware Interface (UEFI)-Spezifikation definiert eine Schnittstelle zwischen einem Betriebssystem und Plattform-Firmware, und UEFI kann direkt mit Hardware über SMM interagieren. SMM-Operationen werden innerhalb eines geschützten Speicherbereichs namens System-Management-RAM (SMRAM) ausgeführt und sind nur über System-Management-Interrupt-Handler (SMI) zugänglich. Vier Schwachstellen wurden in Gigabyte-Firmware-Implementierungen identifiziert, darunter die unkontrollierte Verwendung des RBX-Registers, das Fehlen von Validierungen von Funktionszeigeraufbaustrukturen, eine Doppel-Pointer-Dereferenz-Schwachstelle und das von Angreifern kontrollierte RBX-Register, das als unkontrollierter Zeiger verwendet wird. Diese Schwachstellen können über SMI-Handler innerhalb des Betriebssystems oder während früher Boot-Phasen, Schlafzuständen oder Wiederherstellungsmodi ausgelöst werden. Ein Angreifer mit lokalen oder remote administrativen Privilegien kann diese Schwachstellen ausnutzen, um beliebigen Code im System-Management-Modus auszuführen, um OS-Ebene-Schutzmechanismen wie Secure Boot und Intel BootGuard zu umgehen, was heimliche Firmware-Implantate und dauerhafte Kontrolle über das System ermöglicht. Gigabyte hat aktualisierte Firmware veröffentlicht, um die Schwachstellen zu beheben, und Benutzer werden dringend gebeten, die Gigabyte-Support-Seite zu besuchen, um zu überprüfen, ob ihre Systeme betroffen sind, und die erforderlichen Updates anzuwenden.