UEFI CVE-2024-0762 -haavoittuvuus, joka vaikuttaa useisiin tutkijoiden paljastamiin Intel-suorittimiin
Äskettäin kyberturvallisuustutkijat paljastivat Phoenix SecureCore UEFI -laiteohjelmistossa olevan kriittisen tietoturvavirheen, joka vaikuttaa useisiin Intel Core -työpöytä- ja mobiilisuorittimien perheisiin. Tämä haavoittuvuus, joka on tunnistettu nimellä CVE-2024-0762 ja jonka CVSS-pistemäärä on 7,5, on nimetty "UEFIcanhazbufferoverflow". Se on puskurin ylivuotoongelma, joka johtuu vaarallisen muuttujan käytöstä Trusted Platform Module (TPM) -kokoonpanossa, mikä saattaa mahdollistaa haitallisen koodin suorittamisen.
Toimitusketjun tietoturvayritys Eclypsium raportoi, että tämän haavoittuvuuden ansiosta paikalliset hyökkääjät voivat laajentaa oikeuksia ja suorittaa koodia UEFI-laiteohjelmiston sisällä ajon aikana. Tällainen matalan tason hyväksikäyttö muistuttaa laiteohjelmiston takaovia, kuten BlackLotus, joita on havaittu yhä enemmän luonnossa. Tällaiset hyväksikäytöt antavat hyökkääjille jatkuvan pääsyn laitteeseen, usein ohittaen korkeamman tason suojaustoimenpiteet käyttöjärjestelmä- ja ohjelmistokerroksissa.
Phoenix Technologies korjasi tämän haavoittuvuuden huhtikuussa 2024 vastuullisen paljastamisen jälkeen. Lenovo julkaisi myös tämän puutteen korjaavia päivityksiä viime kuussa. Haavoittuvia laitteita ovat laitteet, jotka käyttävät Phoenix SecureCore -laiteohjelmistoa Intel-suoritinperheissä, kuten Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake ja Tiger Lake.
UEFI (Unified Extensible Firmware Interface), BIOSin seuraaja, on ratkaisevan tärkeä laitteistokomponenttien alustamisessa ja käyttöjärjestelmän lataamisessa käynnistyshallinnan kautta käynnistyksen aikana. Koska UEFI on ensimmäinen koodi, joka suoritetaan korkeimmilla oikeuksilla, siitä on tullut ensisijainen kohde uhkatoimijoille, jotka haluavat ottaa käyttöön käynnistyssarjoja ja laiteohjelmiston implantteja. Nämä hyökkäykset voivat ohittaa suojausmekanismit ja ylläpitää pysyvyyttä ilman havaitsemista.
UEFI-laiteohjelmiston haavoittuvuudet aiheuttavat merkittävän toimitusketjuriskin, joka vaikuttaa useisiin tuotteisiin ja toimittajiin samanaikaisesti. Kuten Eclypsium totesi, UEFI-laiteohjelmiston vaarantaminen voi antaa hyökkääjille täyden hallinnan ja pysyvyyden kyseisissä laitteissa.
Tämä kehitys seuraa tarkasti toista Eclypsiumin raporttia, joka koskee HP:n UEFI-toteutuksen korjaamatonta puskurin ylivuotovirhettä, joka vaikutti HP ProBook 11 EE G1:een, joka saavutti käyttöiän lopun tilan syyskuussa 2020. Lisäksi julkistettiin ohjelmistohyökkäys nimeltä TPM GPIO Reset, jota hyökkääjät voivat hyödyntää päästäkseen käsiksi muiden käyttöjärjestelmien levylle tallentamiin salaisuuksiin tai heikentääkseen TPM-suojattuja ohjaimia, kuten levyn salausta tai käynnistyssuojauksia.
Laiteohjelmistopäivitysten päivitys ja näiden haavoittuvuuksien seurausten ymmärtäminen on erittäin tärkeää nykyaikaisten tietokonelaitteiden turvallisuuden ylläpitämiseksi.