Scoperta dai ricercatori una vulnerabilità UEFI CVE-2024-0762 che colpisce diverse CPU Intel
Recentemente, i ricercatori di sicurezza informatica hanno rivelato una falla di sicurezza critica nel firmware UEFI Phoenix SecureCore, che ha avuto un impatto su più famiglie di processori Intel Core desktop e mobili. Questa vulnerabilità, identificata come CVE-2024-0762 con un punteggio CVSS di 7,5, è stata denominata "UEFIcanhazbufferoverflow". Si tratta di un problema di buffer overflow causato dall'uso di una variabile non sicura nella configurazione Trusted Platform Module (TPM), che potenzialmente consente l'esecuzione di codice dannoso.
Eclypsium, una società di sicurezza della catena di fornitura, ha riferito che questa vulnerabilità consente agli aggressori locali di aumentare i privilegi ed eseguire codice all'interno del firmware UEFI durante il runtime. Questo tipo di sfruttamento di basso livello ricorda le backdoor del firmware come BlackLotus, che sono state osservate sempre più spesso in natura. Tali exploit garantiscono agli aggressori un accesso permanente a un dispositivo, spesso aggirando le misure di sicurezza di livello superiore nel sistema operativo e nei livelli software.
Phoenix Technologies ha corretto questa vulnerabilità nell'aprile 2024 in seguito alla divulgazione responsabile. Lenovo ha anche rilasciato aggiornamenti che risolvono questo difetto il mese scorso. I dispositivi interessati includono quelli che utilizzano il firmware Phoenix SecureCore su famiglie di processori Intel come Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake e Tiger Lake.
UEFI (Unified Extensible Firmware Interface), il successore del BIOS, è fondamentale per inizializzare i componenti hardware e caricare il sistema operativo tramite il Boot Manager durante l'avvio. Poiché UEFI è il primo codice eseguito con i privilegi più elevati, è diventato un obiettivo primario per gli autori di minacce che mirano a distribuire bootkit e impianti firmware. Questi attacchi possono aggirare i meccanismi di sicurezza e mantenere la persistenza senza essere rilevati.
Le vulnerabilità nel firmware UEFI rappresentano un rischio significativo per la catena di fornitura, colpendo contemporaneamente numerosi prodotti e fornitori. Come notato da Eclypsium, la compromissione del firmware UEFI può garantire agli aggressori il pieno controllo e la persistenza sui dispositivi interessati.
Questo sviluppo segue da vicino un altro rapporto di Eclypsium su un difetto di buffer overflow senza patch nell'implementazione UEFI di HP, che ha interessato l'HP ProBook 11 EE G1, che ha raggiunto lo stato di fine vita nel settembre 2020. Inoltre, è stata divulgata una un attacco software denominato TPM GPIO Reset, che gli aggressori potrebbero sfruttare per accedere ai segreti archiviati sul disco da altri sistemi operativi o minare i controlli protetti da TPM come la crittografia del disco o le protezioni di avvio.
Rimanere aggiornati con le patch del firmware e comprendere le implicazioni di queste vulnerabilità è fondamentale per mantenere la sicurezza dei moderni dispositivi informatici.