ثغرة أمنية في UEFI CVE-2024-0762 تؤثر على العديد من وحدات المعالجة المركزية Intel التي كشف عنها الباحثون
كشف باحثو الأمن السيبراني مؤخرًا عن ثغرة أمنية خطيرة في البرامج الثابتة Phoenix SecureCore UEFI، مما يؤثر على عائلات متعددة من معالجات Intel Core المكتبية والمحمولة. وقد تم تسمية هذه الثغرة الأمنية، والتي تم تحديدها باسم CVE-2024-0762 بدرجة 7.5 في نظام CVSS، باسم "UEFIcanhazbufferoverflow". إنها مشكلة تجاوز سعة المخزن المؤقت ناتجة عن استخدام متغير غير آمن في تكوين الوحدة النمطية للنظام الأساسي الموثوق به (TPM)، مما قد يسمح بتنفيذ تعليمات برمجية ضارة.
أفادت شركة Eclypsium، وهي شركة أمنية لسلسلة التوريد، أن هذه الثغرة الأمنية تمكن المهاجمين المحليين من تصعيد الامتيازات وتنفيذ التعليمات البرمجية داخل البرامج الثابتة UEFI أثناء وقت التشغيل. ويذكرنا هذا النوع من الاستغلال منخفض المستوى بالأبواب الخلفية للبرامج الثابتة مثل BlackLotus، والتي تمت ملاحظتها بشكل متزايد في البرية. تمنح مثل هذه الثغرات للمهاجمين إمكانية الوصول المستمر إلى الجهاز، وغالبًا ما تتجاوز إجراءات الأمان ذات المستوى الأعلى في نظام التشغيل وطبقات البرامج.
قامت شركة Phoenix Technologies بتصحيح هذه الثغرة الأمنية في أبريل 2024 بعد الكشف المسؤول عنها. أصدرت Lenovo أيضًا تحديثات لمعالجة هذا الخلل الشهر الماضي. تشمل الأجهزة المتأثرة تلك التي تستخدم برنامج Phoenix SecureCore الثابت على عائلات معالجات Intel مثل Alder Lake وCoffee Lake وComet Lake وIce Lake وJasper Lake وKaby Lake وMeteor Lake وRaptor Lake وRocket Lake وTiger Lake.
تعد UEFI (واجهة البرامج الثابتة القابلة للتوسيع الموحدة)، التي خلفت BIOS، أمرًا ضروريًا لتهيئة مكونات الأجهزة وتحميل نظام التشغيل عبر مدير التمهيد أثناء بدء التشغيل. نظرًا لأن UEFI هو أول رمز يتم تنفيذه بأعلى الامتيازات، فقد أصبح هدفًا رئيسيًا للجهات الفاعلة في مجال التهديد التي تهدف إلى نشر مجموعات التمهيد وزرع البرامج الثابتة. يمكن لهذه الهجمات تجاوز آليات الأمان والحفاظ على استمراريتها دون اكتشافها.
تشكل الثغرات الأمنية في البرامج الثابتة لـ UEFI خطرًا كبيرًا على سلسلة التوريد، مما يؤثر على العديد من المنتجات والبائعين في وقت واحد. كما أشار Eclypsium، فإن اختراق البرامج الثابتة لـ UEFI يمكن أن يمنح المهاجمين التحكم الكامل والثبات على الأجهزة المتضررة.
يأتي هذا التطور في أعقاب تقرير آخر صادر عن Eclypsium حول وجود خلل في سعة المخزن المؤقت غير المصحّح في تنفيذ UEFI من HP، مما يؤثر على HP ProBook 11 EE G1، الذي وصل إلى حالة نهاية العمر الافتراضي في سبتمبر 2020. بالإضافة إلى ذلك، كان هناك إفصاح عن هجوم برمجي يسمى TPM GPIO Reset، والذي يمكن للمهاجمين استغلاله للوصول إلى الأسرار المخزنة على القرص بواسطة أنظمة تشغيل أخرى أو تقويض عناصر التحكم المحمية بواسطة TPM مثل تشفير القرص أو حماية التمهيد.
يعد البقاء على اطلاع بتصحيحات البرامج الثابتة وفهم الآثار المترتبة على نقاط الضعف هذه أمرًا بالغ الأهمية للحفاظ على أمان أجهزة الكمبيوتر الحديثة.