آسیبپذیری UEFI CVE-2024-0762 بر چندین CPU اینتل توسط محققان کشف شد
اخیراً، محققان امنیت سایبری یک نقص امنیتی مهم را در میانافزار Phoenix SecureCore UEFI فاش کردهاند که بر چندین خانواده از پردازندههای دسکتاپ و موبایل Intel Core تأثیر میگذارد. این آسیب پذیری که با نام CVE-2024-0762 با امتیاز CVSS 7.5 شناخته شده است، "UEFIcanhazbufferoverflow" نامگذاری شده است. این یک مشکل سرریز بافر است که به دلیل استفاده از یک متغیر ناامن در پیکربندی ماژول پلتفرم مورد اعتماد (TPM) ایجاد میشود، که به طور بالقوه امکان اجرای کد مخرب را میدهد.
Eclypsium، یک شرکت امنیتی زنجیره تامین، گزارش داد که این آسیبپذیری مهاجمان محلی را قادر میسازد تا امتیازات را افزایش داده و کد را در میانافزار UEFI در طول زمان اجرا اجرا کنند. این نوع بهره برداری سطح پایین یادآور درب های پشتی سیستم عامل مانند BlackLotus است که به طور فزاینده ای در طبیعت مشاهده شده است. چنین اکسپلویت هایی به مهاجمان دسترسی دائمی به یک دستگاه را می دهد که اغلب اقدامات امنیتی سطح بالاتر در لایه های سیستم عامل و نرم افزار را دور می زند.
فنآوریهای فونیکس این آسیبپذیری را در آوریل 2024 پس از افشای مسئولانه اصلاح کرد. Lenovo نیز ماه گذشته بهروزرسانیهایی را برای رفع این نقص منتشر کرد. دستگاههای آسیبدیده شامل دستگاههایی هستند که از سیستمافزار Phoenix SecureCore در خانوادههای پردازندههای اینتل مانند Alder Lake، Coffee Lake، Comet Lake، Ice Lake، Jasper Lake، Kaby Lake، Meteor Lake، Raptor Lake، Rocket Lake و Tiger Lake استفاده میکنند.
UEFI (Unified Extensible Firmware Interface)، جانشین BIOS، برای مقداردهی اولیه اجزای سخت افزاری و بارگذاری سیستم عامل از طریق مدیر بوت در هنگام راه اندازی بسیار مهم است. از آنجایی که UEFI اولین کدی است که با بالاترین امتیازات اجرا شده است، به یک هدف اصلی برای عوامل تهدید تبدیل شده است که قصد دارند بوتکیتها و ایمپلنتهای سفتافزار را اجرا کنند. این حملات می توانند مکانیسم های امنیتی را دور بزنند و بدون شناسایی ماندگاری خود را حفظ کنند.
آسیبپذیریها در میانافزار UEFI خطر زنجیره تامین قابلتوجهی را ایجاد میکنند و محصولات و فروشندگان متعددی را به طور همزمان تحت تأثیر قرار میدهند. همانطور که Eclypsium اشاره کرد، به خطر انداختن سفتافزار UEFI میتواند به مهاجمان کنترل کامل و پایداری روی دستگاههای آسیبدیده را بدهد.
این پیشرفت دقیقاً به دنبال گزارش دیگری از Eclypsium در مورد نقص بدون اصلاح سرریز بافر در اجرای UEFI HP است که بر HP ProBook 11 EE G1 که در سپتامبر 2020 به وضعیت پایان عمر خود رسیده بود، تأثیر می گذارد. علاوه بر این، فاش شده است. یک حمله نرم افزاری به نام TPM GPIO Reset، که مهاجمان می توانند از آن برای دسترسی به اسرار ذخیره شده روی دیسک توسط سایر سیستم عامل ها یا تضعیف کنترل های محافظت شده با TPM مانند رمزگذاری دیسک یا محافظت های بوت سوء استفاده کنند.
به روز ماندن با وصله های سیستم عامل و درک پیامدهای این آسیب پذیری ها برای حفظ امنیت دستگاه های محاسباتی مدرن بسیار مهم است.