A kutatók által feltárt UEFI CVE-2024-0762 sebezhetőség számos Intel CPU-t érint
A közelmúltban a kiberbiztonsági kutatók egy kritikus biztonsági hibát tártak fel a Phoenix SecureCore UEFI firmware-ben, amely több Intel Core asztali és mobil processzorcsaládot érint. Ez a CVE-2024-0762 jelzésű, 7,5-ös CVSS-pontszámmal azonosított sebezhetőség az "UEFIcanhazbufferoverflow" nevet kapta. Ez egy puffertúlcsordulási probléma, amelyet a Trusted Platform Module (TPM) konfigurációjában egy nem biztonságos változó használata okoz, amely potenciálisan rosszindulatú kód futtatását teszi lehetővé.
Az Eclypsium, az ellátási lánc biztonsági cége arról számolt be, hogy ez a sérülékenység lehetővé teszi a helyi támadók számára, hogy futás közben kiterjesszék a jogosultságokat, és kódot hajtsanak végre az UEFI firmware-en belül. Ez a fajta alacsony szintű kizsákmányolás olyan firmware-hátsó ajtókra emlékeztet, mint a BlackLotus, amelyeket egyre gyakrabban figyeltek meg a vadonban. Az ilyen kizsákmányolások folyamatos hozzáférést biztosítanak a támadóknak az eszközökhöz, gyakran megkerülve az operációs rendszer és a szoftverréteg magasabb szintű biztonsági intézkedéseit.
A Phoenix Technologies felelős nyilvánosságra hozatalt követően 2024 áprilisában javította ki ezt a biztonsági rést. A Lenovo a múlt hónapban frissítéseket is kiadott erre a hibára. Az érintett eszközök közé tartoznak azok, amelyek Phoenix SecureCore firmware-t használnak olyan Intel processzorcsaládokon, mint az Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake és Tiger Lake.
Az UEFI (Unified Extensible Firmware Interface), a BIOS utódja, kulcsfontosságú a hardverösszetevők inicializálásában és az operációs rendszer indítási kezelőn keresztüli betöltésében. Mivel az UEFI az első kód, amelyet a legmagasabb jogosultságokkal hajtottak végre, ezért a fenyegetések elsődleges célpontjává vált, akik bootkiteket és firmware-implantátumokat kívánnak telepíteni. Ezek a támadások megkerülhetik a biztonsági mechanizmusokat, és észlelés nélkül fenntarthatják a tartósságot.
Az UEFI firmware sérülékenységei jelentős kockázatot jelentenek az ellátási láncban, és számos terméket és szállítót érintenek egyszerre. Ahogy az Eclypsium megjegyezte, az UEFI firmware kompromittálása teljes irányítást és kitartást biztosíthat a támadóknak az érintett eszközökön.
Ez a fejlemény szorosan követi az Eclypsium egy másik jelentését, amely a HP UEFI implementációjában észlelt, javítatlan puffertúlcsordulási hibáról szól, amely a HP ProBook 11 EE G1-et érinti, amely 2020 szeptemberében érte el az élettartam végi állapotot. Ezenkívül nyilvánosságra hozták a TPM GPIO Reset nevű szoftvertámadás, amelyet a támadók kihasználhatnak a más operációs rendszerek által a lemezen tárolt titkok eléréséhez, vagy alááshatják a TPM által védett vezérlőket, például a lemeztitkosítást vagy a rendszerindítási védelmet.
A firmware-javítások naprakészen tartása és e biztonsági rések következményeinek megértése elengedhetetlen a modern számítástechnikai eszközök biztonságának megőrzéséhez.