A Vulnerabilidade UEFI CVE-2024-0762 que Afeta Várias CPUs Intel foi Descoberta pelos Pesquisadores
Recentemente, os pesquisadores de segurança cibernética revelaram uma falha crítica de segurança no firmware Phoenix SecureCore UEFI, afetando várias famílias de processadores Intel Core para desktop e móveis. Esta vulnerabilidade, identificada como CVE-2024-0762 com uma pontuação CVSS de 7,5, foi denominada “UEFIcanhazbufferoverflow”. É um problema de buffer overflow causado pelo uso de uma variável insegura na configuração do Trusted Platform Module (TPM), potencialmente permitindo a execução de código malicioso.
O Eclypsium, uma empresa de segurança da cadeia de suprimentos, relatou que esta vulnerabilidade permite que invasores locais aumentem privilégios e executem código dentro do firmware UEFI durante o tempo de execução. Esse tipo de exploração de baixo nível lembra backdoors de firmware como o BlackLotus, que têm sido cada vez mais observados na natureza. Essas explorações concedem aos invasores acesso persistente a um dispositivo, muitas vezes contornando medidas de segurança de nível superior no sistema operacional e nas camadas de software.
A Phoenix Technologies corrigiu esta vulnerabilidade em abril de 2024 após divulgação responsável. A Lenovo também lançou atualizações corrigindo essa falha no mês passado. Os dispositivos afetados incluem aqueles que usam firmware Phoenix SecureCore em famílias de processadores Intel, como Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake e Tiger Lake.
O UEFI (Unified Extensible Firmware Interface), o sucessor do BIOS, é crucial para inicializar componentes de hardware e carregar o sistema operacional através do gerenciador de inicialização durante a inicialização. Como o UEFI é o primeiro código executado com os privilégios mais altos, ele se tornou o principal alvo dos agentes de ameaças que desejam implantar bootkits e implantes de firmware. Esses ataques podem contornar os mecanismos de segurança e manter a persistência sem detecção.
As vulnerabilidades no firmware UEFI representam um risco significativo na cadeia de suprimentos, afetando vários produtos e fornecedores simultaneamente. Como observou o Eclypsium, comprometer o firmware UEFI pode conceder aos invasores controle total e persistência nos dispositivos afetados.
Este desenvolvimento segue de perto outro relatório da Eclypsium sobre uma falha de buffer overflow não corrigida na implementação UEFI da HP, afetando o HP ProBook 11 EE G1, que atingiu o status de fim de vida em setembro de 2020. Além disso, houve uma divulgação de um ataque de software denominado TPM GPIO Reset, que os invasores podem explorar para acessar segredos armazenados em disco por outros sistemas operacionais ou minar controles protegidos por TPM, como criptografia de disco ou proteções de inicialização.
Manter-se atualizado com as correções de firmware e compreender as implicações dessas vulnerabilidades é fundamental para manter a segurança dos dispositivos de computação modernos.