Le tabelle ACPI contengono linguaggio macchina ACPI o AML, che viene eseguito da un interprete nel kernel all'avvio. Alcune tabelle ACPI, come il DSDT, sono necessarie per supportare eventi ACPI hardware come la ripresa di un sistema sospeso. Per accedere a queste tabelle, che sono memorizzate nel BIOS flash, il kernel le mappa in memoria, facendo in modo che qualsiasi accesso alle tabelle possa rileggere dallo stesso chip flash stesso ogni volta che si verifica l'accesso. Ciò significa che un utente malintenzionato che modifica il contenuto flash del BIOS mentre è in esecuzione un sistema potrebbe essere in grado di attivare il payload attivando un evento ACPI, provocando la nuova lettura dell'AML DSDT malevola modificata da leggere ed eseguita.
Conosco poco su ACPI, ma questa è sempre stata la mia comprensione. Le mie domande:
-
Sono corretto che una tabella ACPI modificata in fase di esecuzione verrà eseguita durante determinati eventi ACPI?
-
Se questo è vero, quali eventi specifici possono attivare questo (resume, hotplugs, ecc.)?
-
Quali tabelle vengono rilette da Flash? È solo il DSDT? L'SSDT? È specifico per il sistema?
Questo è rilevante perché, se la mia comprensione è corretta, consentirebbe a un utente malintenzionato che può modificare il flash BIOS di ignorare la protezione TPM SRTM in fase di esecuzione, anche se il CRTM è correttamente di sola lettura.