Уязвимость в UEFI нарушает защиту от DMA-атак на раннем этапе загрузки

Критическая уязвимость, обнаруженная в прошивках UEFI (Unified Extensible Firmware Interface) для материнских плат нескольких крупных производителей, позволяет обходить защиту от DMA-атак в самый ответственный момент - до загрузки операционной системы. Проблема, получившая идентификатор VU#382314, затрагивает системы на различных архитектурах и ставит под угрозу конфиденциальность и целостность данных в памяти.

Детали уязвимости

Современные компьютеры полагаются на связку UEFI и IOMMU (Input-Output Memory Management Unit), чтобы создать безопасную среду до старта ОС. UEFI инициализирует оборудование, а IOMMU контролирует прямой доступ к памяти (DMA) для периферийных устройств, таких как карты расширения PCIe. Этот механизм призван не дать злоумышленным устройствам читать или изменять системную память на раннем этапе загрузки.

Однако в некоторых реализациях UEFI обнаружено опасное несоответствие. Прошивка ошибочно сообщает, что защита DMA активна, но при этом не выполняет правильную настройку и активацию IOMMU в ключевой фазе передачи управления. Следовательно, злонамеренное устройство PCIe, получившее физический доступ к системе, может выполнять несанкционированные операции с памятью до того, как вступят в силу средства защиты операционной системы. Это открывает путь для хищения чувствительных данных, например, ключей шифрования, или для внедрения вредоносного кода (payload), который может скомпрометировать всю последующую работу системы.

Уязвимость затрагивает продукты нескольких ведущих производителей материнских плат. Согласно данным координационного центра CERT, проблему подтвердили компании ASRock, ASUSTeK Computer Inc., GIGABYTE и MSI. При этом, производители микропрограммного обеспечения, такие как American Megatrends Incorporated (AMI), Insyde Software и Phoenix Technologies, а также компании AMD и Intel, заявили, что их продукты не подвержены влиянию данной уязвимости. Компания ASUS в своём заявлении уточнила, что проблема касается материнских плат на чипсетах Intel серий Z490, W480, B460, H410, Z590, B560, H510, Z690, B660, W680, Z790, B760 и W790.

Основной риск связан с необходимостью физического доступа к PCIe-слоту атакуемой машины. Тем не менее, угроза является серьёзной для корпоративных рабочих станций, серверов с недостаточным физическим контролем или систем, к которым могут получить доступ неавторизованные лица. Более того, поскольку IOMMU является фундаментом для изоляции в виртуализированных и облачных средах, подобная ошибка на уровне прошивки подрывает базовые предположения о безопасности.

Эксперты по кибербезопасности подчёркивают, что данная уязвимость демонстрирует растущую важность защиты цепочки загрузки (boot process). Атаки на ранних этапах запуска системы особенно опасны, так как позволяют злоумышленникам получить беспрецедентный уровень контроля и обеспечить своё постоянное присутствие (persistence) в системе, обходя многие традиционные средства защиты.

Единственным надёжным решением проблемы является незамедлительная установка обновлений микропрограммного обеспечения (BIOS/UEFI), которые уже выпускают производители. Например, ASUS рекомендует пользователям не только обновить BIOS до указанной версии, но и вручную проверить в настройках BIOS, активирована ли опция IOMMU DMA Protection в режиме «Enable with Full Protection». Администраторам следует регулярно проверять официальные страницы безопасности вендоров на наличие новых патчей, так как графики выпуска обновлений у разных производителей различаются.

Открытие этой уязвимости стало результатом работы исследователей Ника Питерсона и Мохамеда Аль-Шарифи из Riot Games, которые сотрудничали с группами реагирования производителей и тайваньским CERT для координации устранения проблемы. Своевременное применение исправлений критически важно для устранения бреши в безопасности, которая позволяет обходить одну из ключевых аппаратных защит современных вычислительных систем.

Детали уязвимости

Ссылки