Denominados PixieFail, las deficiencias afectan a las UEFIs de AMI, Intel, Insyde y Phoenix
Se han revelado múltiples vulnerabilidades de seguridad en la pila de protocolos de red TCP/IP de una implementación de referencia de código abierto de la especificación Unified Extensible Firmware Interface (UEFI) utilizada ampliamente en las computadoras modernas.
Los nueve problemas, denominados colectivamente PixieFail por Quarkslab, residen en el TianoCore EFI Development Kit II (EDK II) y podrían explotarse para lograr la ejecución remota de código (RCE), denegación de servicio (DoS), envenenamiento de la caché de DNS y fuga de información confidencial.
El firmware UEFI, responsable del arranque del sistema operativo, de AMI, Intel, Insyde y Phoenix Technologies se ve afectado por las deficiencias.
EDK II incorpora su propia pila TCP/IP llamada NetworkPkg para habilitar las funcionalidades de red disponibles durante la etapa inicial del entorno de ejecución previa al arranque (PXE, pronunciado "pixie"), lo que permite realizar tareas de gestión en ausencia de un sistema operativo en ejecución.
En otras palabras, es una interfaz cliente-servidor para iniciar un dispositivo desde su tarjeta de interfaz de red (NIC) y permite que un administrador configure e inicie de forma remota las computadoras en red que aún no están cargadas con un sistema operativo.
El código para PXE se incluye como parte del firmware UEFI en la placa base o dentro de la memoria de solo lectura (ROM) del firmware de la NIC.
Los problemas identificados por Quarkslab dentro del NetworkPkg de EDKII incluyen errores de desbordamiento, lectura fuera de límites, bucles infinitos y el uso de un generador de números pseudoaleatorios (PRNG) débil que resulta en ataques de envenenamiento de DNS y DHCP, fuga de información, denegación de servicio y ataques de inserción de datos en la capa IPv4 e IPv6.
"El impacto y la explotabilidad de estas vulnerabilidades dependen de la compilación de firmware específica y de la configuración de arranque PXE predeterminada", dijo en un aviso el Centro de Coordinación CERT (CERT/CC).
"Un atacante dentro de la red local (y, en ciertos escenarios, de forma remota) podría explotar estas debilidades para ejecutar código remoto, iniciar ataques DoS, envenenar la caché de DNS o extraer información confidencial".
