UEFI CVE-2024-0762 ievainojamība, kas ietekmē vairākus pētnieku atklātos Intel CPU
Nesen kiberdrošības pētnieki atklāja būtisku drošības trūkumu Phoenix SecureCore UEFI programmaparatūrā, kas ietekmēja vairākas Intel Core galddatoru un mobilo procesoru saimes. Šī ievainojamība, kas identificēta kā CVE-2024-0762 ar CVSS punktu skaitu 7,5, ir nosaukta par "UEFIcanhazbufferoverflow". Tā ir bufera pārpildes problēma, ko izraisa nedroša mainīgā izmantošana Trusted Platform Module (TPM) konfigurācijā, kas, iespējams, ļauj izpildīt ļaunprātīgu kodu.
Piegādes ķēdes drošības uzņēmums Eclypsium ziņoja, ka šī ievainojamība ļauj vietējiem uzbrucējiem palielināt privilēģijas un izpildīt kodu UEFI programmaparatūrā izpildlaika laikā. Šāda zema līmeņa izmantošana atgādina programmaparatūras aizmugures durvis, piemēram, BlackLotus, kuras arvien biežāk tiek novērotas savvaļā. Šādas ekspluatācijas nodrošina uzbrucējiem pastāvīgu piekļuvi ierīcei, bieži apejot augstāka līmeņa drošības pasākumus operētājsistēmas un programmatūras slāņos.
Uzņēmums Phoenix Technologies izlaboja šo ievainojamību 2024. gada aprīlī pēc atbildīgas atklāšanas. Lenovo pagājušajā mēnesī arī izlaida atjauninājumus, kas novērš šo trūkumu. Ietekmētās ierīces ir tās, kas izmanto Phoenix SecureCore programmaparatūru Intel procesoru saimēs, piemēram, Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake un Tiger Lake.
UEFI (Unified Extensible Firmware Interface), BIOS pēctecis, ir ļoti svarīgs aparatūras komponentu inicializācijai un operētājsistēmas ielādei, izmantojot sāknēšanas pārvaldnieku startēšanas laikā. Tā kā UEFI ir pirmais kods, kas tiek izpildīts ar visaugstākajām privilēģijām, tas ir kļuvis par galveno mērķi apdraudējuma dalībniekiem, kas vēlas izvietot sāknēšanas komplektus un programmaparatūras implantus. Šie uzbrukumi var apiet drošības mehānismus un saglabāt noturību bez atklāšanas.
UEFI programmaparatūras ievainojamības rada ievērojamu piegādes ķēdes risku, vienlaikus ietekmējot daudzus produktus un pārdevējus. Kā atzīmēja Eclypsium, UEFI programmaparatūras kompromitēšana var nodrošināt uzbrucējiem pilnīgu kontroli un noturību ietekmētajās ierīcēs.
Šī attīstība cieši seko citam Eclypsium ziņojumam par neizlabotu bufera pārpildes kļūdu HP UEFI ieviešanā, kas ietekmē HP ProBook 11 EE G1, kas sasniedza dzīves beigu statusu 2020. gada septembrī. Turklāt tika atklāta informācija par programmatūras uzbrukums ar nosaukumu TPM GPIO Reset, ko uzbrucēji var izmantot, lai piekļūtu citu operētājsistēmu diskā glabātajiem noslēpumiem vai apdraudētu TPM aizsargātās vadīklas, piemēram, diska šifrēšanu vai sāknēšanas aizsardzību.
Lai saglabātu moderno skaitļošanas ierīču drošību, ir svarīgi pastāvīgi atjaunināt programmaparatūras ielāpus un izprast šo ievainojamību sekas.