Um conjunto de nove vulnerabilidades, coletivamente chamado de 'PixieFail', impacta o protocolo de rede IPv6 do stack do Tianocore EDK II, a implementação de referência de código aberto da especificação UEFI amplamente usada em computadores empresariais e servidores.
As falhas estão presentes no processo de inicialização de rede PXE, que é crucial para o provisionamento de sistemas operacionais em data centers e ambientes de computação de alto desempenho, e é um procedimento padrão para carregar imagens de SO da rede na inicialização.
As falhas PixieFail foram descobertas por pesquisadores da Quarkslab e já foram divulgadas aos fornecedores impactados através de um esforço coordenado pelo CERT/CC e CERT-FR.
As vulnerabilidades PixieFail surgem a partir da implementação do IPv6 no ambiente de execução de pré-inicialização (PXE), parte da especificação UEFI.
O PXE possibilita a inicialização da rede e sua implementação IPv6 introduz protocolos adicionais, aumentando a superfície de ataque.
Os ataques PixieFail consistem em nove falhas que podem ser exploradas localmente em uma rede para causar negação de serviço (DoS), divulgação de informações, execução remota de código (RCE), envenenamento do cache DNS e sequestro de sessão de rede.
Abaixo está um resumo das nove falhas PixieFail:
CVE-2023-45229
: Tratamento impróprio das opções IA_NA/IA_TA nas mensagens Advertise do DHCPv6, levando a um underflow de inteiros e possível corrupção de memória.
CVE-2023-45230
: Tratamento problemático das longas opções de ID do servidor no DHCPv6, permitindo overflow do buffer e, potencialmente, levando à execução de código remoto ou falhas do sistema.
CVE-2023-45231
: Tratamento problemático de opções truncadas nas mensagens de redirecionamento (ND), levando à leitura fora dos limites.
CVE-2023-45232
: Falha na análise do cabeçalho de opções de destino do IPv6, onde opções desconhecidas podem disparar um loop infinito, causando uma negação de serviço.
CVE-2023-45233
: Problema de loop infinito na análise da opção PadN no cabeçalho de opções de destino do IPv6.
CVE-2023-45234
: Problema de overflow de buffer no tratamento da opção de servidores DNS em uma mensagem Advertise do DHCPv6.
CVE-2023-45235
: Vulnerabilidade no tratamento da opção de ID de servidor de uma mensagem Advertise do DHCPv6 proxy, levando a um overflow de buffer.
CVE-2023-45236
: A pilha TCP no EDK II gera números iniciais de sequência previsíveis, tornando-se susceptível a ataques de sequestro de sessão TCP.
CVE-2023-45237
: Uso de um gerador de números pseudoaleatórios fracos na pilha de rede, facilitando potencialmente vários ataques de rede.
Das acima, as mais graves são a
CVE-2023-45230
e a
CVE-2023-45235
, que permitem aos atacantes realizar a execução remota de código, possivelmente levando ao comprometimento total do sistema.
A Quarkslab lançou exploits de prova de conceito (PoC) que permitem aos administradores detectar dispositivos vulneráveis em sua rede.
As vulnerabilidades PixieFail impactam a implementação UEFI do EDK II do Tianocore e outros fornecedores que usam seu módulo NetworkPkg, incluindo grandes empresas de tecnologia e fornecedores de BIOS.
Segundo a Quarkslab, isso inclui a Arm Ltd., Insyde Software, American Megatrends Inc.
(AMI), Phoenix Technologies Inc. e Microsoft Corporation.
O aviso de segurança do CERT/CC também afirma que a Intel é impactada.
Embora o pacote EDK2 esteja incluído na árvore de código fonte do ChromeOS, o Google especificou que ele não é usado nos Chromebooks de produção e não é impactado pelas falhas PixieFail.
A divulgação inicial ao CERT/CC ocorreu em 3 de agosto de 2023, e o prazo de divulgação foi definido para 2 de novembro de 2023, logo após o prazo de 90 dias.
Devido às complexidades em corrigir os problemas enfrentados por vários fornecedores, o CERT/CC mudou a data de divulgação várias vezes, inicialmente para 1º de dezembro de 2023, e depois para 16 de janeiro de 2024.
Ainda assim, alguns pediram um adiamento maior, com a Microsoft solicitando que a data alvo fosse movida para maio de 2024.
Neste momento, a maioria dos patches dos fornecedores estão em um estado de testes/não validado, e o Tianocore forneceu correções para as sete primeiras vulnerabilidades.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...