Computer Security UEFI CVE-2024-0762-kwetsbaarheid die verschillende...

UEFI CVE-2024-0762-kwetsbaarheid die verschillende Intel-CPU's treft, ontdekt door onderzoekers

Onlangs hebben cybersecurityonderzoekers een kritieke beveiligingsfout in de Phoenix SecureCore UEFI-firmware onthuld, die gevolgen heeft voor meerdere families van Intel Core desktop- en mobiele processors. Deze kwetsbaarheid, geïdentificeerd als CVE-2024-0762 met een CVSS-score van 7,5, heeft de naam "UEFIcanhazbufferoverflow" gekregen. Het is een bufferoverloopprobleem dat wordt veroorzaakt door het gebruik van een onveilige variabele in de Trusted Platform Module (TPM)-configuratie, waardoor mogelijk kwaadaardige code kan worden uitgevoerd.

Eclypsium, een supply chain-beveiligingsbedrijf, meldde dat lokale aanvallers dankzij dit beveiligingslek bevoegdheden kunnen escaleren en code kunnen uitvoeren binnen de UEFI-firmware tijdens runtime. Dit soort exploitatie op laag niveau doet denken aan firmware-backdoors zoals BlackLotus, die steeds vaker in het wild worden waargenomen. Dergelijke exploits geven aanvallers permanente toegang tot een apparaat, waarbij vaak beveiligingsmaatregelen op een hoger niveau in het besturingssysteem en de softwarelagen worden omzeild.

Phoenix Technologies heeft dit beveiligingslek in april 2024 gepatcht na verantwoorde openbaarmaking. Lenovo heeft vorige maand ook updates uitgebracht om dit probleem aan te pakken. Tot de getroffen apparaten behoren apparaten die Phoenix SecureCore-firmware gebruiken op Intel-processorfamilies zoals Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake en Tiger Lake.

UEFI (Unified Extensible Firmware Interface), de opvolger van BIOS, is cruciaal voor het initialiseren van hardwarecomponenten en het laden van het besturingssysteem via de bootmanager tijdens het opstarten. Omdat UEFI de eerste code is die met de hoogste rechten wordt uitgevoerd, is het een belangrijk doelwit geworden voor bedreigingsactoren die bootkits en firmware-implantaten willen inzetten. Deze aanvallen kunnen beveiligingsmechanismen omzeilen en zonder detectie voortduren.

Kwetsbaarheden in UEFI-firmware vormen een aanzienlijk risico voor de toeleveringsketen, waardoor talloze producten en leveranciers tegelijkertijd worden getroffen. Zoals Eclypsium opmerkte, kan het compromitteren van UEFI-firmware aanvallers volledige controle en volharding op de getroffen apparaten geven.

Deze ontwikkeling volgt nauw op een ander rapport van Eclypsium over een niet-gepatchte bufferoverflow-fout in de UEFI-implementatie van HP, met gevolgen voor de HP ProBook 11 EE G1, die in september 2020 de end-of-life-status bereikte. Daarnaast was er een onthulling van een softwareaanval met de naam TPM GPIO Reset, die aanvallers kunnen misbruiken om toegang te krijgen tot geheimen die op schijf zijn opgeslagen door andere besturingssystemen of om door TPM beveiligde controles zoals schijfversleuteling of opstartbeveiligingen te ondermijnen.

Op de hoogte blijven van firmwarepatches en inzicht krijgen in de implicaties van deze kwetsbaarheden is van cruciaal belang voor het behoud van de veiligheid van moderne computerapparatuur.

Bezig met laden...