UEFI CVE-2024-0762 Vulnerabilitat que afecta diverses CPU Intel descobertes pels investigadors
Recentment, els investigadors de ciberseguretat van revelar un defecte de seguretat crític al microprogramari Phoenix SecureCore UEFI, que afecta diverses famílies de processadors d'escriptori i mòbils Intel Core. Aquesta vulnerabilitat, identificada com a CVE-2024-0762 amb una puntuació CVSS de 7,5, s'ha anomenat "UEFIcanhazbufferoverflow". És un problema de desbordament de memòria intermèdia causat per l'ús d'una variable no segura a la configuració del mòdul de plataforma de confiança (TPM), que pot permetre l'execució de codi maliciós.
Eclypsium, una empresa de seguretat de la cadena de subministrament, va informar que aquesta vulnerabilitat permet als atacants locals augmentar els privilegis i executar codi dins del microprogramari UEFI durant el temps d'execució. Aquest tipus d'explotació de baix nivell recorda les portes del darrere del firmware com BlackLotus, que s'han observat cada cop més a la natura. Aquestes explotacions atorguen als atacants un accés persistent a un dispositiu, sovint obviant les mesures de seguretat de nivell superior al sistema operatiu i a les capes de programari.
Phoenix Technologies va arreglar aquesta vulnerabilitat l'abril de 2024 després d'una divulgació responsable. Lenovo també va publicar actualitzacions per solucionar aquest defecte el mes passat. Els dispositius afectats inclouen aquells que utilitzen el firmware Phoenix SecureCore a famílies de processadors Intel com ara Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake i Tiger Lake.
UEFI (Unified Extensible Firmware Interface), el successor de la BIOS, és crucial per inicialitzar components de maquinari i carregar el sistema operatiu mitjançant el gestor d'arrencada durant l'inici. Com que UEFI és el primer codi executat amb els privilegis més alts, s'ha convertit en un objectiu principal per als actors d'amenaces que tenen com a objectiu desplegar kits d'arrencada i implants de microprogramari. Aquests atacs poden evitar els mecanismes de seguretat i mantenir la persistència sense detecció.
Les vulnerabilitats del microprogramari UEFI suposen un risc important de la cadena de subministrament, que afecten simultàniament nombrosos productes i proveïdors. Com va assenyalar Eclypsium, comprometre el microprogramari UEFI pot atorgar als atacants el control i la persistència totals sobre els dispositius afectats.
Aquest desenvolupament segueix de prop un altre informe d'Eclypsium sobre un defecte de desbordament de memòria intermèdia sense pegats en la implementació UEFI d'HP, que va afectar l'HP ProBook 11 EE G1, que va arribar a l'estat de final de vida el setembre de 2020. A més, hi va haver una divulgació de un atac de programari anomenat TPM GPIO Reset, que els atacants podrien explotar per accedir als secrets emmagatzemats al disc per altres sistemes operatius o soscavar els controls protegits per TPM, com ara el xifratge del disc o les proteccions d'arrencada.
Mantenir-se actualitzat amb els pegats del microprogramari i entendre les implicacions d'aquestes vulnerabilitats és fonamental per mantenir la seguretat dels dispositius informàtics moderns.