SMM İşleyicisinde Uygunsuz Giriş Doğrulamasının Kullanılması

byCrow -

 

SMM İşleyicisinde Uygunsuz Giriş Doğrulamasının Kullanılması

giriş

CVE-2023-31345, etkilenen aygıt yazılımının Sistem Yönetim Modu (SMM) işleyicisinde uygunsuz giriş doğrulamasından kaynaklanan yüksek önem derecesine sahip bir güvenlik açığıdır (CVSS puanı: 7,5). Bu açığın kullanılması, ayrıcalıklı bir saldırganın Sistem Yönetim RAM'ini (SMRAM) üzerine yazmasına olanak tanır ve bu da potansiyel olarak en yüksek ayrıcalıkta (.02/11/2025) keyfi kod yürütülmesine yol açabilir


Sistem Yönetim Modunu (SMM) Anlamak

SMM, güç yönetimi ve donanım kontrolü gibi düşük seviyeli sistem işlemlerini ele almak için tasarlanmış oldukça ayrıcalıklı bir CPU modudur. SMRAM adı verilen izole bir bellek bölgesinde işletim sisteminden ve çekirdekten ayrı olarak çalışır . SMM en yüksek CPU ayrıcalık seviyesiyle (ring -2) yürütüldüğünden, bu modun herhangi bir şekilde tehlikeye atılması sistemin tamamen ele geçirilmesine yol açabilir.


CVE-2023-31345'in Teknik Ayrıntıları 

  • Güvenlik Açığı Türü: Uygunsuz Giriş Doğrulaması

  • Etkilenen Bileşen: Ürün yazılımındaki SMM işleyicisi

  • Etkisi: Ayrıcalıklı saldırganların SMRAM'ı üzerine yazmasına olanak tanır

  • Olası Sonuçlar: Keyfi kod yürütme, tüm sistemin tehlikeye atılması

  • Saldırı Önkoşulları: Saldırganın yerel sistem ayrıcalıklarına sahip olması gerekir (örneğin, çekirdek veya hipervizör düzeyinde erişim)

Exploit Nasıl Çalışır?

  1. SMM İşleyicisi Girişlerinin Kötüye Kullanımı: SMM işleyicisi, işletim sisteminden veya diğer ayrıcalıklı bileşenlerden gelen giriş parametrelerini düzgün bir şekilde doğrulamada başarısız oluyor.

  2. SMRAM Üzerine Yazma: Yeterli ayrıcalıklara sahip bir saldırgan, SMM bellek yapılarını değiştiren kötü amaçlı veriler enjekte eder.

  3. SMM'de Kod Yürütme: Başarılı olursa, saldırgan Güvenli Önyükleme, sanallaştırma ve hipervizör güvenliği gibi işletim sistemi düzeyindeki korumaları atlatarak SMM üzerinde yürütme denetimini ele geçirir.


Sömürü Senaryoları

Senaryo 1: Çekirdekten SMM Düzeyindeki Kod Yürütmeye Yükselme

  • Saldırgan Profili: Tehlikeye atılmış bir sistemde çalışan kötü amaçlı bir çekirdek modülü veya kök seti.

  • Saldırı Adımları:

    • Saldırgan, kritik SMM yapılarını üzerine yazmak için CVE-2023-31345'i kullanır.

    • SMM ayrıcalıklarıyla çalıştırılan kabuk kodunu enjekte eder.

    • İşletim sistemi ve hypervisor güvenliğini atlayarak sistem yazılımı üzerinde tam kontrol sağlar.

  • Olası Etki: Algılanamayan kalıcılık, güvenlik özelliklerinin devre dışı kalması ve sistemin tam kontrolü.

Senaryo 2: Güvenli Önyükleme ve TPM Korumalarını Atlatma

  • Saldırgan Profili: Donanım yazılımı düzeyindeki güvenliği hedef alan gelişmiş bir kalıcı tehdit (APT).

  • Saldırı Adımları:

    • Saldırgan, bu güvenlik açığını kötüye kullanarak sahte aygıt yazılımı kodu enjekte ediyor.

    • Önyükleyici doğrulama mekanizmalarını manipüle eder.

    • Güvenli Önyükleme veya Güvenilir Platform Modülü (TPM) bütünlük denetimlerini devre dışı bırakır.

  • Olası Etki: Aygıt yazılımına kalıcı kötü amaçlı yazılım yerleştirilmesi, işletim sisteminin yeniden kurulması enfeksiyonu kaldıramaz.


Tespit ve Önleme Stratejileri

Tespit Yöntemleri

  • Donanım Yazılımı Bütünlük Kontrolleri: SMRAM'da yetkisiz değişiklikleri tespit etmek için CHIPSEC gibi araçları kullanın.

  • Davranış Analizi: Aşırı yürütme süresi gibi olağan dışı SMM işleyicisi davranışlarını izleyin.

  • Olay Günlüğü Kaydı: Şüpheli erişim modellerini yakalamak için UEFI aygıt yazılımı günlüğünü etkinleştirin.

Azaltma Stratejileri

  1. Yazılım Güncellemeleri: Yazılımın donanım satıcılarından alınan yamalarla güncellendiğinden emin olun.

  2. SMM Bellek Koruması: Intel BIOS Guard ve AMD SMM Supervisor gibi donanım tabanlı SMM korumalarını uygulayın .

  3. Ayrıcalıklı Erişimi Kısıtlayın: Saldırı yüzeyini azaltmak için çekirdek ve hipervizör ayrıcalıklarını en aza indirin.

  4. Güvenli Önyükleme ve Doğrulanmış Önyüklemeyi Etkinleştir: Yetkisiz aygıt yazılımı değişikliklerini önlemeye yardımcı olur.


Çözüm

CVE-2023-31345, ayrıcalıklı saldırganların SMM içinde keyfi kod yürütmesini sağlayarak sistem güvenliği için önemli bir tehdit oluşturmaktadır. Geleneksel güvenlik mekanizmalarını aşma yeteneği nedeniyle, kuruluşlar zamanında güncellemeleri sağlayarak, donanım korumalarından yararlanarak ve davranışsal izleme araçlarını uygulayarak aygıt yazılımı güvenliğine proaktif bir yaklaşım benimsemelidir.

Kritik altyapıları yöneten kuruluşlar için, işletim sistemi düzeyindeki güvenlik önlemlerini atlatabilen gizli ve kalıcı saldırıları önlemek amacıyla aygıt yazılımı katmanının güvenliğini sağlamak hayati önem taşır.

Tags

Yorum Gönder

Daha yeni Daha eski

İletişim Formu