Naukowcy odkryli lukę w zabezpieczeniach UEFI CVE-2024-0762 w kilku procesorach Intel
Niedawno badacze cyberbezpieczeństwa odkryli krytyczną lukę w zabezpieczeniach oprogramowania sprzętowego Phoenix SecureCore UEFI, wpływającą na wiele rodzin procesorów Intel Core do komputerów stacjonarnych i mobilnych. Luka ta, zidentyfikowana jako CVE-2024-0762 z wynikiem CVSS 7,5, została nazwana „UEFIcanhazbufferoverflow”. Jest to problem z przepełnieniem bufora spowodowany użyciem niebezpiecznej zmiennej w konfiguracji modułu Trusted Platform Module (TPM), potencjalnie umożliwiającej wykonanie złośliwego kodu.
Eclypsium, firma zajmująca się bezpieczeństwem łańcucha dostaw, poinformowała, że ta luka umożliwia lokalnym atakującym eskalację uprawnień i wykonanie kodu w oprogramowaniu UEFI w czasie jego działania. Ten rodzaj niskopoziomowego wykorzystania przypomina backdoory oprogramowania sprzętowego, takie jak BlackLotus, które są coraz częściej obserwowane w środowisku naturalnym. Takie exploity zapewniają atakującym stały dostęp do urządzenia, często z pominięciem zabezpieczeń wyższego poziomu w systemie operacyjnym i warstwach oprogramowania.
Firma Phoenix Technologies załatała tę lukę w kwietniu 2024 r. po odpowiedzialnym ujawnieniu. W zeszłym miesiącu Lenovo udostępniło także aktualizacje usuwające tę usterkę. Do zagrożonych urządzeń zaliczają się urządzenia korzystające z oprogramowania sprzętowego Phoenix SecureCore w rodzinach procesorów Intel, takich jak Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake i Tiger Lake.
UEFI (Unified Extensible Firmware Interface), następca BIOS-u, ma kluczowe znaczenie dla inicjowania komponentów sprzętowych i ładowania systemu operacyjnego za pośrednictwem menedżera rozruchu podczas uruchamiania. Ponieważ UEFI jest pierwszym kodem wykonywanym z najwyższymi uprawnieniami, stał się głównym celem cyberprzestępców chcących wdrożyć bootkity i implanty oprogramowania sprzętowego. Ataki te mogą ominąć mechanizmy bezpieczeństwa i utrzymać trwałość bez wykrycia.
Luki w oprogramowaniu sprzętowym UEFI stanowią poważne ryzyko dla łańcucha dostaw, wpływając jednocześnie na wiele produktów i dostawców. Jak zauważył Eclypsium, naruszenie oprogramowania sprzętowego UEFI może zapewnić atakującym pełną kontrolę i trwałość na zagrożonych urządzeniach.
Rozwój ten następuje tuż po innym raporcie firmy Eclypsium na temat niezałatanej wady przepełnienia bufora w implementacji UEFI firmy HP, mającej wpływ na HP ProBook 11 EE G1, który osiągnął status wycofania z eksploatacji we wrześniu 2020 r. Ponadto ujawniono atak programowy o nazwie TPM GPIO Reset, który napastnicy mogą wykorzystać w celu uzyskania dostępu do sekretów przechowywanych na dysku przez inne systemy operacyjne lub podważenia mechanizmów kontrolnych chronionych przez moduł TPM, takich jak szyfrowanie dysku lub zabezpieczenia rozruchu.
Regularne aktualizowanie poprawek oprogramowania sprzętowego i zrozumienie konsekwencji tych luk ma kluczowe znaczenie dla utrzymania bezpieczeństwa nowoczesnych urządzeń komputerowych.