El CERT de los EEUU ha publicado una Nota de Vulnerabilidad para comunicar el fallo que tienen algunos sistemas UEFI para restringir adecuadamente el acceso a scripts o guiones de secuencias de comandos de arranque utilizados por EFI S3 Resume Boot Path, permitiendo a un atacante local autenticado eludir varias protecciones de escritura del firmware.
UEFI (Unified Extensible Firmware Interface) es una especificación que define la interfaz de software entre el sistema operativo y el firmware de la plataforma. Fue diseñada para reemplazar el BIOS (Basic Input/Output System) y mejorar la interoperabilidad del software, solucionando las limitaciones del BIOS y ofreciendo mayor seguridad en el arranque del sistema. Dicho de otra manera, UEFI es una interfaz entre el sistema operativo y los controladores del hardware del computador.
De acuerdo con Rafal Wojtczuk y Corey Kallenberg de la Corporación MITRE, “durante el UEFI S3 Resume Path un script de aranque es interpretado para re-inicializar la plataforma. El script dicta varias operaciones de lectura/escritura de puerto y memoria para facilitar el re-inicio, y es interpretado cuando aún no se han configurado los mecanismos importantes de seguridad de la plataforma. Por ejemplo, BIOS_CNTL, que ayuda a proteger el firmware de la plataforma contra escrituras arbitrarias, está desbloqueado. TSEGMB, que protege la SMRAM contra DMA, también está desbloqueado. El script de arranque está en una posición crítica de seguridad y mantener su integridad es importante. Sin embargo, hemos descubierto que en ciertos sistemas el script de arranque reside en la memoria no protegida que puede ser manipulada por un atacante con acceso a la memoria física.”
Un atacante local autenticado podría ser capaz de eludir el arranque seguro y/o realizar un reflash (reprogramar) arbitrario del firmware de la plataforma a pesar de la presencia de actualización aplicada de firmware. Además, el atacante podría leer o escribir arbitrariamente en la región SMRAM. Por último, el atacante podría dañar el firmware de la plataforma y hacer al sistema inoperable.
Es recomendable identificar si el sistema es afectado para aplicar la actualización del BIOS disponible por el fabricante. Hasta el momento se tiene conocimiento que han sido afectados los sistemas de American Megatrends Incorporated (AMI), Intel Corporation, y Phoenix Technologies Ltd.