Teadlaste paljastatud UEFI CVE-2024-0762 haavatavus, mis mõjutab mitut Inteli protsessorit
Hiljuti avastasid küberturvalisuse teadlased Phoenix SecureCore UEFI püsivara kriitilise turvavea, mis mõjutab Intel Core'i lauaarvutite ja mobiilsete protsessorite mitut perekonda. See haavatavus, mis on identifitseeritud kui CVE-2024-0762 ja mille CVSS skoor on 7,5, on saanud nimeks "UEFIcanhazbufferoverflow". See on puhvri ületäitumise probleem, mis on põhjustatud ebaturvalise muutuja kasutamisest usaldusväärse platvormi mooduli (TPM) konfiguratsioonis, mis võib potentsiaalselt lubada pahatahtliku koodi käivitamist.
Tarneahela turbefirma Eclypsium teatas, et see haavatavus võimaldab kohalikel ründajatel suurendada privileege ja käivitada käitusajal UEFI püsivara sees koodi. Selline madala tasemega ärakasutamine meenutab püsivara tagauksi nagu BlackLotus, mida on looduses üha enam täheldatud. Sellised ärakasutamised annavad ründajatele püsiva juurdepääsu seadmele, jättes sageli mööda operatsioonisüsteemi ja tarkvara kihtide kõrgema taseme turvameetmetest.
Phoenix Technologies parandas selle haavatavuse 2024. aasta aprillis pärast vastutustundlikku avalikustamist. Lenovo andis eelmisel kuul välja ka selle veaga seotud värskendused. Mõjutatud seadmete hulka kuuluvad seadmed, mis kasutavad Phoenix SecureCore'i püsivara Inteli protsessoriperekondades, nagu Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake ja Tiger Lake.
UEFI (Unified Extensible Firmware Interface), BIOS-i järeltulija, on riistvarakomponentide lähtestamiseks ja operatsioonisüsteemi laadimiseks käivitamise ajal alglaadimishalduri kaudu ülioluline. Kuna UEFI on esimene kõrgeimate privileegidega käivitatav kood, on sellest saanud peamine sihtmärk ohus osalejatele, kes soovivad juurutada alglaadimiskomplekte ja püsivara implantaate. Need rünnakud võivad turvamehhanismidest mööda minna ja säilitada püsivuse ilma tuvastamiseta.
UEFI püsivara haavatavused kujutavad endast märkimisväärset tarneahela riski, mõjutades korraga paljusid tooteid ja tarnijaid. Nagu Eclypsium märkis, võib UEFI püsivara kahjustamine anda ründajatele mõjutatud seadmetes täieliku kontrolli ja püsivuse.
See areng järgib täpselt Eclypsiumi teist aruannet HP UEFI juurutuse parandamata puhvri ülevooluvea kohta, mis mõjutab HP ProBook 11 EE G1, mis jõudis 2020. aasta septembris kasutusea lõppu. Lisaks avalikustati tarkvararünnak nimega TPM GPIO Reset, mida ründajad võivad ära kasutada, et pääseda juurde teiste operatsioonisüsteemide kettale salvestatud saladustele või õõnestada TPM-iga kaitstud juhtelemente, nagu ketta krüptimine või alglaadimiskaitse.
Püsivara paikadega kursis hoidmine ja nende haavatavuste tagajärgede mõistmine on kaasaegsete arvutiseadmete turvalisuse säilitamiseks ülioluline.