Ερευνητές αποκάλυψαν ευπάθεια UEFI CVE-2024-0762 που επηρεάζει αρκετούς επεξεργαστές Intel
Πρόσφατα, ερευνητές κυβερνοασφάλειας αποκάλυψαν ένα κρίσιμο ελάττωμα ασφάλειας στο υλικολογισμικό Phoenix SecureCore UEFI, το οποίο επηρεάζει πολλές οικογένειες επεξεργαστών επιτραπέζιων υπολογιστών και φορητών υπολογιστών Intel Core. Αυτή η ευπάθεια, που προσδιορίστηκε ως CVE-2024-0762 με βαθμολογία CVSS 7,5, ονομάστηκε "UEFIcanhazbufferoverflow". Πρόκειται για ένα ζήτημα υπερχείλισης buffer που προκαλείται από τη χρήση μιας μη ασφαλούς μεταβλητής στη διαμόρφωση της μονάδας αξιόπιστης πλατφόρμας (TPM), η οποία ενδεχομένως επιτρέπει την εκτέλεση κακόβουλου κώδικα.
Η Eclypsium, μια εταιρεία ασφάλειας εφοδιαστικής αλυσίδας, ανέφερε ότι αυτή η ευπάθεια επιτρέπει στους τοπικούς εισβολείς να κλιμακώνουν τα προνόμια και να εκτελούν κώδικα εντός του υλικολογισμικού UEFI κατά τη διάρκεια του χρόνου εκτέλεσης. Αυτό το είδος εκμετάλλευσης χαμηλού επιπέδου θυμίζει backdoors υλικολογισμικού όπως το BlackLotus, που παρατηρούνται όλο και περισσότερο στη φύση. Τέτοιες εκμεταλλεύσεις παρέχουν στους εισβολείς επίμονη πρόσβαση σε μια συσκευή, συχνά παρακάμπτοντας μέτρα ασφαλείας υψηλότερου επιπέδου στο λειτουργικό σύστημα και στα επίπεδα λογισμικού.
Η Phoenix Technologies διόρθωσε αυτήν την ευπάθεια τον Απρίλιο του 2024 μετά από υπεύθυνη αποκάλυψη. Η Lenovo κυκλοφόρησε επίσης ενημερώσεις για την αντιμετώπιση αυτού του ελαττώματος τον περασμένο μήνα. Οι συσκευές που επηρεάζονται περιλαμβάνουν αυτές που χρησιμοποιούν υλικολογισμικό Phoenix SecureCore σε οικογένειες επεξεργαστών Intel, όπως οι Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake και Tiger Lake.
Το UEFI (Unified Extensible Firmware Interface), ο διάδοχος του BIOS, είναι ζωτικής σημασίας για την προετοιμασία στοιχείων υλικού και τη φόρτωση του λειτουργικού συστήματος μέσω του διαχειριστή εκκίνησης κατά την εκκίνηση. Δεδομένου ότι το UEFI είναι ο πρώτος κώδικας που εκτελείται με τα υψηλότερα προνόμια, έχει γίνει πρωταρχικός στόχος για τους φορείς απειλών που στοχεύουν να αναπτύξουν bootkits και εμφυτεύματα υλικολογισμικού. Αυτές οι επιθέσεις μπορούν να παρακάμψουν τους μηχανισμούς ασφαλείας και να διατηρήσουν την επιμονή τους χωρίς ανίχνευση.
Τα τρωτά σημεία στο υλικολογισμικό UEFI αποτελούν σημαντικό κίνδυνο της εφοδιαστικής αλυσίδας, επηρεάζοντας πολλά προϊόντα και προμηθευτές ταυτόχρονα. Όπως σημείωσε το Eclypsium, η παραβίαση του υλικολογισμικού UEFI μπορεί να δώσει στους εισβολείς πλήρη έλεγχο και επιμονή στις επηρεαζόμενες συσκευές.
Αυτή η εξέλιξη ακολουθεί στενά μετά από μια άλλη αναφορά του Eclypsium σχετικά με ένα μη επιδιορθωμένο ελάττωμα υπερχείλισης buffer στην εφαρμογή UEFI της HP, που επηρεάζει το HP ProBook 11 EE G1, το οποίο έφτασε στο τέλος του κύκλου ζωής του τον Σεπτέμβριο του 2020. Επιπλέον, έγινε αποκάλυψη μια επίθεση λογισμικού με το όνομα TPM GPIO Reset, την οποία οι εισβολείς θα μπορούσαν να εκμεταλλευτούν για να αποκτήσουν πρόσβαση σε μυστικά που είναι αποθηκευμένα στο δίσκο από άλλα λειτουργικά συστήματα ή να υπονομεύσουν τα προστατευμένα με TPM στοιχεία ελέγχου, όπως η κρυπτογράφηση δίσκου ή οι προστασίες εκκίνησης.
Η παραμονή ενημερωμένη με ενημερώσεις κώδικα υλικολογισμικού και η κατανόηση των επιπτώσεων αυτών των τρωτών σημείων είναι κρίσιμης σημασίας για τη διατήρηση της ασφάλειας των σύγχρονων υπολογιστικών συσκευών.