← voltar
CVE-2022-40250

Stack overflow vulnerability in SMI handler on SmmSmbiosElog.

CVSS 8.8 HIGHEPSS 0.4%CWE-121
Em resumo

Uma vulnerabilidade de estouro de pilha no firmware UEFI permite que um atacante contorne proteções de segurança e execute código malicioso no System Management Mode (SMM), um ambiente altamente privilegiado isolado do sistema operacional. Isso pode possibilitar a instalação de backdoors de firmware persistentes que sobrevivem a reinstalações do SO e contornam recursos de segurança como Secure Boot.

Detalhe técnico

Estouro de buffer na pilha do manipulador SmmSmbiosElog (CWE-121) permite elevação de privilégio do ring 0 para o contexto de execução ring -2 no SMM. Um atacante explorando essa vulnerabilidade pode executar código arbitrário no SMM, contornar proteções de flash SPI e instalar implantes de firmware persistentes que burlam mecanismos de segurança UEFI, incluindo Secure Boot e isolamento de memória para hipervisores.

Resumo gerado e traduzido por IA a partir da descrição oficial.
An attacker can exploit this vulnerability to elevate privileges from ring 0 to ring -2, execute arbitrary code in System Management Mode - an environment more privileged than operating system (OS) and completely isolated from it. Running arbitrary code in SMM additionally bypasses SMM-based SPI flash protections against modifications, which can help an attacker to install a firmware backdoor/implant into BIOS. Such a malicious firmware code in BIOS could persist across operating system re-installs. Additionally, this vulnerability potentially could be used by malicious actors to bypass security mechanisms provided by UEFI firmware (for example, Secure Boot and some types of memory isolation for hypervisors). This issue affects: Module name: SmmSmbiosElog SHA256: 3a8acb4f9bddccb19ec3b22b22ad97963711550f76b27b606461cd5073a93b59 Module GUID: 8e61fd6b-7a8b-404f-b83f-aa90a47cabdf This issue affects: AMI Aptio 5.x. This issue affects: AMI Aptio 5.x.
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Produtos afetados
AMI · Aptio

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://www.ami.com/security-center/https://www.binarly.io/advisories/BRLY-2022-016https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00712.html