Photo by Jordan Harrison on Unsplash

法國資安業者Quarkslab本周公布了9個與統一可延伸韌體介面（Unified Extensible Firmware Interface，UEFI）有關的安全漏洞，它們存在於由英特爾開發的UEFI開源參考實現TianoCore EDK II上，可在網路啟動程序中遭到利用，允許駭客自遠端發動阻斷服務攻擊、遠端程式執行或挾持網路工作階段，眾多業者的產品或服務都受到影響，包括微軟、Arm、Insyde Software、American Megatrends Inc（AMI）及Google等。

UEFI是個介於主機板韌體與作業系統之間的軟體介面，它是電腦啟動時首個執行的程式，會檢查並喚醒所需的硬體元件，再將它們移交給作業系統。而Quarkslab則在UEFI的參考實現TianoCore EDK II上發現了9個安全漏洞，涵蓋整數下溢漏洞CVE-2023-45229，緩衝區溢位漏洞CVE-2023-45230、CVE-2023-45234與CVE-2023-45235，越界讀取漏洞CVE-2023-45231，無限迴圈漏洞CVE-2023-45232及CVE-2023-45233，可預測的TCP初始序列號碼CVE-2023-45236，以及使用弱的偽隨機數生成器CVE-2023-45237，並將它們統稱為PixieFAIL。

研究人員指出，PixieFAIL漏洞可於網路啟動程序中，遭到處於同一區域網路且未經身分驗證的遠端駭客利用，進而觸發服務阻斷攻擊，造成資訊外洩，遠端程式執行，DNS快取記憶體下毒，以及網路工作階段遭到挾持等。

透過網路來啟動及載入作業系統映像檔為企業電腦與伺服器上的標準功能，亦為資料中心及高效能運算環境中的熱門選項，而預先啟動執行環境（Preboot Execution Environment，PXE）則是一個標準化用戶端&伺服器端解決方案的規範，又被稱為Pixie Boot，也是PixieFAIL名稱的由來。研究人員解釋，為了提供網路啟動功能，UEFI於驅動程式執行環境（DXE）階段實現了一個完整的IP堆疊，因而替來自本地網路的攻擊開啟了大門。

PixieFAIL漏洞除了直接影響TianoCore EDK II之外，也波及了Arm參考解決方案，Insyde Software的Insyde H20 UEFI BIOS，AMI的Aptio OpenEdition，Phoenix Technologies的SecureCore，以及微軟的Project Mu，至於Google的ChromeOS原始碼雖然含有TianoCore EDK II，但卻未使用，於是Google直接於程式碼中將它移除。

其實Quarkslab早在去年8月就向CERT-FR 提報了安全漏洞，也提供了當中7個漏洞的概念性驗證程式，原本預計於去年的11月2日對外披露，卻收到各業者的延後披露要求，且一延再延，從Quarkslab的描述中可看出，該公司對於與各業者協調漏洞披露時程感到非常的沮喪，因為業者不斷地要求延後披露，卻未提供漏洞修補時程，最終Quarkslab是與CERT/CC敲定了披露時間。