UEFI CVE-2024-0762 Sårbarhet som påvirker flere Intel-prosessorer avdekket av forskere
Nylig avslørte cybersikkerhetsforskere en kritisk sikkerhetsfeil i Phoenix SecureCore UEFI-fastvaren, som påvirker flere familier av Intel Core-stasjonære og mobile prosessorer. Dette sikkerhetsproblemet, identifisert som CVE-2024-0762 med en CVSS-score på 7,5, har fått navnet "UEFIcanhazbufferoverflow." Det er et bufferoverløpsproblem forårsaket av bruk av en usikker variabel i Trusted Platform Module (TPM)-konfigurasjonen, som potensielt tillater kjøring av skadelig kode.
Eclypsium, et sikkerhetsfirma i forsyningskjeden, rapporterte at dette sikkerhetsproblemet gjør det mulig for lokale angripere å eskalere privilegier og kjøre kode i UEFI-fastvaren under kjøring. Denne typen utnyttelse på lavt nivå minner om fastvare-bakdører som BlackLotus, som i økende grad har blitt observert i naturen. Slike utnyttelser gir angripere vedvarende tilgang til en enhet, og omgår ofte sikkerhetstiltak på høyere nivå i operativsystem- og programvarelagene.
Phoenix Technologies lappet dette sikkerhetsproblemet i april 2024 etter ansvarlig avsløring. Lenovo ga også ut oppdateringer som adresserer denne feilen forrige måned. De berørte enhetene inkluderer de som bruker Phoenix SecureCore-fastvare på Intel-prosessorfamilier som Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake og Tiger Lake.
UEFI (Unified Extensible Firmware Interface), etterfølgeren til BIOS, er avgjørende for initialisering av maskinvarekomponenter og lasting av operativsystemet via boot manager under oppstart. Siden UEFI er den første koden som kjøres med de høyeste privilegiene, har den blitt et hovedmål for trusselaktører som tar sikte på å distribuere bootkits og fastvareimplantater. Disse angrepene kan omgå sikkerhetsmekanismer og opprettholde utholdenhet uten oppdagelse.
Sårbarheter i UEFI-firmware utgjør en betydelig forsyningskjederisiko, som påvirker en rekke produkter og leverandører samtidig. Som Eclypsium bemerket, kan kompromittering av UEFI-fastvare gi angripere full kontroll og utholdenhet på de berørte enhetene.
Denne utviklingen følger tett i hælene på en annen rapport fra Eclypsium om en uoppdatert bufferoverløpsfeil i HPs UEFI-implementering, som påvirker HP ProBook 11 EE G1, som nådde end-of-life-status i september 2020. I tillegg var det en avsløring av et programvareangrep kalt TPM GPIO Reset, som angripere kan utnytte for å få tilgang til hemmeligheter lagret på disk av andre operativsystemer eller undergrave TPM-beskyttede kontroller som diskkryptering eller oppstartsbeskyttelse.
Å holde seg oppdatert med fastvareoppdateringer og forstå implikasjonene av disse sårbarhetene er avgjørende for å opprettholde sikkerheten til moderne dataenheter.