PixieFail, nove vulnerabilità a carico di UEFI: potenziale pericolo per datacenter e cloud

Il firmware UEFI di cinque dei principali fornitori è affetto da una serie di vulnerabilità che insieme consentono ad un aggressore con già un piede all'interno di una rete, di infettare i dispositivi connessi con malware capace di operare a livello firmware.

I ricercatori di Quarkslab hanno battezzato collettivamente queste vulnerabilità con il nome di PixieFail e rappresentano una minaccia per i datacenter e per gli allestimenti cloud. Chiunque possa avere un accesso minimo ad una rete di quel tipo, ad esempio anche un semplice utente pagante, un dipendente a basso livello o un malintenzionato già all'interno di un'infrastruttura, può sfruttare le vulnerabilità per infettare i dispositivi connessi con un UEFI dannoso.

L'UEFI, acronimo di Unified Extensible Firmware Interface, è il responsabile dell'avvio dei sistemi PC di oggi e funge da interfaccia tra hardware e sistema operativo: nel caso in cui un firmware dannoso venga installato e quindi eseguito prima del sistema operativo, non è possibile rilevare la sua presenza - e nemmeno rimuoverlo - utilizzando strumenti antivirus e di sicurezza endpoint convenzionali. Questo tipo di minacce permettono inoltre di acquisire un controllo particolarmente esteso sul dispositivo infetto.

PixieFail, attenzione a Preboot Execution Environment quando opera con IPv6

Le vulnerabilità che compongono PixieFail sono nove e a carico di TianoCore EDK II, un'implementazione open source di UEFI che viene utilizzata da Arm, Insyde, AMI, Phoenix Tecnologies e Microsoft. Si tratta di falle relative al sistema di indirizzi IPv6 che possono essere sfruttate nel Preboot Execution Environment (PXE) quando è configurato per utilizzare quel protocollo.

PXE viene spesso soprannominato Pixieboot o netboot ed è un meccanismo utilizzato per avviare un elevato numero di dispositivi all'interno di un ampio parco macchine: la situazione più comune è quella di numerosi server all'interno di datacenter. Si tratta di un sistema pensato per garantire facilità d'uso, uniformità e standard qualitativi omogenei all'interno di datacenter e ambienti cloud.

Con PXE il sistema operativo non è archiviato sul dispositivo, ma in un server centrale che prende il nome di server di avvio. Quando i dispositivi vengono avviati individuano il server di avvio tramite il protocollo Dynamic Host Configuration Protocol e inviano una richiesta per ottenere l'immagine del sistema operativo. In questo modo ogni volta che sia necessario riconfigurare o aggiornare il sistema operativo, sarà sufficiente farlo una volta sola, così che i server connessi eseguano tutti la stessa versione ogni volta che si avviano.

Le vulnerabilità PixieFail consentono ad un attaccante di indurre i server a scaricare un'immagine firmware dannosa anziché quella prevista. In uno scenario di questo tipo l'immagine dannosa avrà lo scopo di stabilire un punto d'accesso permanente sul dispositivo installato prima che venga caricato il sistema operativo e, dopo di esso, qualsiasi altro software di sicurezza che normalmente rileverebbe quel tipo di attività non autorizzata.

E' importante notare, come già accennato in precedenza, che per sfruttare PixieFail è sufficiente avere la possibilità di visualizzare e acquisire il traffico di rete e questo è possibile con un qualsiasi accesso a basso livello, come può essere quello di un account legittimo ad un servizio cloud. Chiaramente, però, PixieFail può essere sfruttata solo se il meccanismo PXE è attivo e configurato per usare il routing IPv6. Normalmente PXE viene utilizzato, per le sue peculiarità, solamente all'interno di datacenter e ambienti cloud, mentre normalmente nei sistemi singoli non è attivo.

I fornitori di UEFI stanno lavorando per realizzare patch correttive da inviare ai clienti, che a loro volta le distribuiranno agli utenti finali. Come dicevamo, tuttavia, si tratta di un problema di maggior interesse per amministratori di rete e di datacenter, dato che difficilmente il singolo utente utilizza la funzione PXE su un dispositivo singolo.