Mehrere Sicherheitslücken wurden in TCP/IP-Netzwerkprotokollstapel der Open-Source-Referenzimplementierung der Unified Extensible Firmware Interface (UEFI) Spezifikation entdeckt. Unter dem Namen PixieFail hat Quarkslab neun Schwachstellen in der TianoCore EFI Development Kit II (EDK II) identifiziert, die für Remote Code Execution, Denial-of-Service (DoS), DNS-Cache-Vergiftung und die Offenlegung sensibler Informationen ausgenutzt werden könnten. Von den Mängeln sind UEFI-Firmware von AMI, Intel, Insyde und Phoenix Technologies betroffen.
Die EDK II enthält einen eigenständigen TCP/IP-Stack namens NetworkPkg, der Netzwerkfunktionen während der Preboot Execution Environment (PXE)-Phase ermöglicht, um Verwaltungsaufgaben ohne laufendes Betriebssystem zu ermöglichen.
Anders ausgedrückt handelt es sich um eine Client-Server-Schnittstelle zum Booten eines Geräts über seine Netzwerkschnittstellenkarte (NIC), die es ermöglicht, dass vernetzte Computer, die noch nicht mit einem Betriebssystem geladen sind, von einem Administrator konfiguriert und ferngesteuert werden können.
Der Code für PXE ist Teil der UEFI-Firmware auf dem Motherboard oder im Festwertspeicher (ROM) der NIC-Firmware enthalten.
Die von Quarkslab in der EDKII’s NetworkPkg identifizierten Schwachstellen umfassen Überlauffehler, Out-of-Bounds-Lesezugriffe, Endlosschleifen und die Verwendung eines schwachen Pseudorandom Number Generator (PRNG), die zu DNS- und DHCP-Vergiftungsangriffen, Informationslecks, Denial-of-Service und Datenmanipulationsangriffen auf der IPv4- und IPv6-Ebene führen können.
Die Liste der Schwachstellen lautet wie folgt:
${match} (CVSS-Score: 6.5) – Unterlaufzerstörung beim Verarbeiten von IA_NA/IA_TA-Optionen in einer DHCPv6-Werbungsnachricht
${match} (CVSS-Score: 8.3) – Pufferüberlauf im DHCPv6-Client über eine lange Server-ID-Option
${match} (CVSS-Score: 6.5) – Out-of-Bounds-Lesezugriff beim Umgang mit einer ND-Weiterleitungsbenachrichtigung mit abgeschnittenen Optionen
${match} (CVSS-Score: 7.5) – Endlosschleife beim Analysieren unbekannter Optionen im Destination-Optionsheader
${match} (CVSS-Score: 7.5) – Endlosschleife beim Analysieren einer PadN-Option im Destination-Optionsheader
${match} (CVSS-Score: 8.3) – Pufferüberlauf beim Verarbeiten der DNS-Server-Option in einer DHCPv6-Werbungsnachricht
${match} (CVSS-Score: 8.3) – Pufferüberlauf beim Umgang mit der Server-ID-Option von einer DHCPv6-Proxy-Werbungsnachricht
${match} (CVSS-Score: 5.8) – Vorhersehbare TCP-Initialsequenznummern
${match} (CVSS-Score: 5.3) – Verwendung eines schwachen Pseudorandom Number Generator
„Die Auswirkungen und die Ausnutzbarkeit dieser Schwachstellen hängen von der spezifischen Firmware-Version und der Standard-PXE-Bootkonfiguration ab“, so das CERT Coordination Center (CERT/CC) in einer Warnmeldung. „Ein Angreifer im lokalen Netzwerk (und in bestimmten Szenarien auch remote) könnte diese Schwachstellen ausnutzen, um Remote Code auszuführen, DoS-Angriffe zu starten, DNS-Cache-Vergiftung durchzuführen oder sensible Informationen zu extrahieren.“
