UEFI는 Unified Extensible Firmware Interface의 약어입니다. 이것은 현대 컴퓨터에서 일반적으로 사용되는 기술입니다. 그러나 이 기본 기술에 취약점이 발생하면 UEFI를 통해 이식된 백도어는 탐지하거나 제거하기가 쉽지 않기 때문에 매우 나쁩니다. 최근 연구원들은 5개 공급업체의 UEFI 펌웨어에서 9개의 취약점을 발견했습니다. 연구원들은 이러한 취약점을 총칭하여 PixieFail이라고 부릅니다. 권한이 낮은 사용자라도 취약점을 악용하여 공격을 시작할 수 있습니다.
성공적인 해커는 운영 체제가 부팅되기 전에 악성 코드를 실행하는 악성 펌웨어를 설치할 수 있지만 이 취약점은 주로 기업과 데이터 센터에 영향을 미칩니다.
IPv6 기반 PXE 부팅:
PXE는 기업에서 다수의 장치를 부팅하는 데 사용하는 방법입니다. PXE는 장치에 운영 체제를 저장하지 않습니다. 대신 시스템 이미지가 부팅 서버에 저장됩니다. 터미널 장치는 PXE를 통해 부팅 서버에 연결되어 운영 체제를 시작합니다.
PXE는 데이터 센터 및 클라우드 환경에서 사용 편의성, 일관성 및 품질 보증을 위해 특별히 설계되었습니다. IT 관리자는 이를 사용하여 운영 체제를 일괄 업데이트, 구성 및 시작할 수 있습니다.
이번에 등장한 취약점은 PXE에 있습니다. 서버를 시작하도록 IPv6 연결이 구성된 경우 공격자는 취약점을 이용하여 IT 관리자가 구성한 펌웨어 이미지 대신 악성 펌웨어 이미지를 다운로드할 수 있습니다.
UEFI에 일단 이식되면 기존 보안 소프트웨어에서는 UEFI가 감염되었는지 감지하지 못하거나 감지된 후에도 제거할 수 없기 때문에 악성 코드가 영구적으로 남을 수 있습니다.
연구자들은 다음과 같이 말합니다.
공격자는 단말 장치와 부팅 서버에 물리적으로 접근할 필요가 없습니다. 공격자는 이러한 시스템이 실행되는 네트워크에 액세스하고 도구와 협력하여 데이터 패킷을 캡처한 다음 이를 주입하고 전송할 수만 있으면 됩니다.
이러한 취약점 중 일부는 최종 장치가 부팅될 때 요청 응답으로 클라이언트에 악성 패킷을 보내는 공격자에 의해 트리거될 수 있습니다.
PXE 및 IPv6 비활성화:
이 취약점을 방지하는 더 쉬운 방법은 PXE 시작 및 IPv6를 직접 비활성화하는 것입니다. 대부분의 가정 사용자는 기본적으로 PXE를 사용하지 않으므로 직접 비활성화할 수 있습니다.
또한 이 취약점은 IPv6를 통해 연결된 부팅 서버에만 영향을 미칩니다. 기업이나 데이터 센터에서 IPv4 연결을 사용하는 경우 영향을 받지 않습니다.
버그 수정:
현재 UEFI 펌웨어 공급자는 새 버전의 펌웨어를 연속적으로 생산하여 고객에게 배포하고 있습니다. 예를 들어, AMI는 이 취약점이 OptioV 시리즈 펌웨어에 영향을 미친다는 사실을 확인했으며 현재 새 버전의 펌웨어를 제작하여 고객에게 배포했습니다.
다른 펌웨어 제공업체에서는 아직 펌웨어를 업데이트하고 있습니다. 영향을 받는 펌웨어 공급자에는 ArmLtd., Insyde, AMI, Phoenix Technologies 및 Microsoft가 포함됩니다.
마이크로소프트의 답변:
마이크로소프트는 회사가 적절한 조치를 취하고 있다고 밝혔지만 구체적인 조치 내용은 공개하지 않았다. 동시에 마이크로소프트는 공격자가 기업 인트라넷에도 악성 서버를 구축해야 한다고 잘못 언급했지만, 연구원들은 그것이 필수는 아니라고 밝혔습니다.
마지막으로 Microsoft에서는 PXE나 기타 프로토콜을 사용하지 않는 경우 해당 프로토콜을 비활성화할 것을 권장합니다. 이를 사용하려면 공격자가 중간자 하이재킹을 수행하는 것을 방지할 수 있는 TLS 암호화 프로토콜도 구성해야 합니다.