Les vulnérabilités PixieFail présentes dans l’UEFI exposent des millions de PC !
PixieFail, c'est le nom associé à un ensemble de 9 vulnérabilités découvertes dans une implémentation open source de la pile TCP/IP utilisée par l'UEFI de nombreux modèles d'ordinateurs ! Voici ce qu'il faut savoir !
Quarkslab a identifié 9 vulnérabilités différentes dans TianoCore EFI Development Kit II (EDK II) et elles peuvent être exploitées pour effectuer de l'exécution de code à distance, empoisonner le cache DNS, récupérer des informations sensibles ou encore mener une attaque de type déni de service. L'exploitation s'effectue en étant connectée sur le même réseau local que la machine cible, même si dans certains cas, l'exploitation serait possible à distance.
Dans le cas présent, c'est la pile TCP/IP, nommée "NetworkPkg" dans TianoCore EDK II qui est affectée. Elle permet d'ajouter des fonctionnalités associées au réseau, notamment le boot PXE (démarrage sur le réseau, ce qui est utile en cas d'absence d'un système d'exploitation), d'où le nom PixieFail.
Le problème, c'est qu'il est très largement utilisé par de nombreux firmwares UEFI, notamment chez Intel, Phoenix Technologies, AMI ou encore Insyde Software. Un avis publié par le CERT/CC précise : "L'impact et l'exploitabilité de ces vulnérabilités dépendent de la version spécifique du micrologiciel et de la configuration par défaut du démarrage PXE."
Cette page est intéressante, car elle permet de savoir quels sont les constructeurs affectés par ces vulnérabilités, et ceux qui ne le sont pas, bien que ce ne soit pas encore déterminé pour certains d'entre eux tels que Microsoft, Dell, Fujitsu, etc. Des millions de machines sont potentiellement affectées.
La solution pour se protéger consiste à maintenir à jour le firmware de ses machines. Par ailleurs, il est recommandé de désactiver le boot PXE si vous ne l'utilisez pas et déployer des mesures de protection sur vos services réseau, notamment la détection des serveurs DHCP non autorisés (rogue DHCP).
La liste des vulnérabilités PixieFail
Terminons par la liste des vulnérabilités PixieFail :
- CVE-2023-45229 - Score CVSS : 6.5 - Integer underflow lors du traitement des options IA_NA/IA_TA dans un message de type "DHCPv6 Advertise"
- CVE-2023-45230 - Score CVSS : 8.3 - Buffer overflow dans le client DHCPv6 via l'option Server ID
- CVE-2023-45231 - Score CVSS : 6.5 - Out-of-bounds read lors du traitement d'un message "ND Redirect", avec des options tronquées
- CVE-2023-45232 - Score CVSS : 7.5 - Boucle infinie lors de l'analyse d'options inconnues dans l'en-tête "Destination Options"
- CVE-2023-45233 - Score CVSS : 7.5 - Boucle infinie lors de l'analyse d'une option "PadN" dans l'en-tête "Destination Options"
- CVE-2023-45234 - Score CVSS : 8.3 - Buffer overflow lors du traitement de l'option "DNS Servers" dans un message "DHCPv6 Advertise"
- CVE-2023-45235 - Score CVSS : 8.3 - Buffer overflow lors du traitement de l'option "Server ID" d'un message "DHCPv6 proxy Advertise"
- CVE-2023-45236 - Score CVSS : 5.8 - Numéros de séquence TCP initiaux prévisibles
- CVE-2023-45237 - Score CVSS : 5.3 - Utilisation d'un générateur de nombres pseudo-aléatoires trop faible
Pour en savoir plus et obtenir des détails techniques, vous pouvez consulter le rapport disponible sur le blog de Quarkslab.