UEFI CVE-2024-0762 연구원들이 여러 Intel CPU에 영향을 미치는 취약점을 발견했습니다.
최근 사이버 보안 연구원들은 Phoenix SecureCore UEFI 펌웨어에서 여러 Intel Core 데스크탑 및 모바일 프로세서 제품군에 영향을 미치는 심각한 보안 결함을 발견했습니다. CVSS 점수 7.5의 CVE-2024-0762로 식별된 이 취약점의 이름은 "UEFIcanhazbufferoverflow"입니다. TPM(신뢰할 수 있는 플랫폼 모듈) 구성에서 안전하지 않은 변수를 사용하여 발생하는 버퍼 오버플로 문제로, 잠재적으로 악성 코드 실행을 허용합니다.
공급망 보안 회사인 Eclypsium은 이 취약점으로 인해 로컬 공격자가 런타임 동안 UEFI 펌웨어 내에서 권한을 상승시키고 코드를 실행할 수 있다고 보고했습니다. 이러한 종류의 낮은 수준의 공격은 BlackLotus와 같은 펌웨어 백도어를 연상시킵니다. 이는 실제로 점점 더 많이 관찰되고 있습니다. 이러한 악용은 공격자에게 장치에 대한 지속적인 액세스 권한을 부여하고 종종 운영 체제 및 소프트웨어 계층의 더 높은 수준의 보안 조치를 우회합니다.
Phoenix Technologies는 책임 있는 공개 이후 2024년 4월에 이 취약점을 패치했습니다. Lenovo는 지난달에도 이 결함을 해결하는 업데이트를 발표했습니다. 영향을 받는 장치에는 Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake 및 Tiger Lake와 같은 Intel 프로세서 제품군에서 Phoenix SecureCore 펌웨어를 사용하는 장치가 포함됩니다.
BIOS의 후속 버전인 UEFI(Unified Extensible Firmware Interface)는 하드웨어 구성 요소를 초기화하고 시작 시 부팅 관리자를 통해 운영 체제를 로드하는 데 중요합니다. UEFI는 가장 높은 권한으로 실행되는 최초의 코드이기 때문에 부트킷과 펌웨어 이식을 배포하려는 위협 행위자의 주요 표적이 되었습니다. 이러한 공격은 보안 메커니즘을 우회하고 탐지되지 않고 지속성을 유지할 수 있습니다.
UEFI 펌웨어의 취약성은 심각한 공급망 위험을 초래하여 수많은 제품과 공급업체에 동시에 영향을 미칩니다. Eclypsium이 언급했듯이 UEFI 펌웨어가 손상되면 공격자에게 영향을 받는 장치에 대한 모든 권한과 지속성이 부여될 수 있습니다.
이 개발은 2020년 9월에 단종 상태에 도달한 HP ProBook 11 EE G1에 영향을 미치는 HP UEFI 구현의 패치되지 않은 버퍼 오버플로 결함에 대한 Eclypsium의 또 다른 보고서에 밀접하게 뒤따릅니다. TPM GPIO Reset이라는 소프트웨어 공격은 공격자가 다른 운영 체제에 의해 디스크에 저장된 비밀에 액세스하거나 디스크 암호화 또는 부팅 보호와 같은 TPM 보호 제어를 약화시키는 데 악용할 수 있습니다.
최신 컴퓨팅 장치의 보안을 유지하려면 펌웨어 패치를 최신 상태로 유지하고 이러한 취약점의 의미를 이해하는 것이 중요합니다.