Vulnerabilitatea UEFI CVE-2024-0762 care afectează mai multe procesoare Intel, descoperită de cercetători
Recent, cercetătorii în domeniul securității cibernetice au dezvăluit o defecțiune critică de securitate în firmware-ul Phoenix SecureCore UEFI, care afectează mai multe familii de procesoare Intel Core desktop și mobile. Această vulnerabilitate, identificată ca CVE-2024-0762 cu un scor CVSS de 7,5, a fost denumită „UEFIcanhazbufferoverflow”. Este o problemă de depășire a memoriei tampon cauzată de utilizarea unei variabile nesigure în configurația Trusted Platform Module (TPM), permițând potențial execuția de cod rău intenționat.
Eclypsium, o firmă de securitate a lanțului de aprovizionare, a raportat că această vulnerabilitate le permite atacatorilor locali să escaladeze privilegiile și să execute cod în firmware-ul UEFI în timpul rulării. Acest tip de exploatare la nivel scăzut amintește de ușile din spate de firmware precum BlackLotus, care au fost din ce în ce mai observate în sălbăticie. Astfel de exploatări oferă atacatorilor acces persistent la un dispozitiv, ocolind adesea măsurile de securitate de nivel superior din sistemul de operare și straturile software.
Phoenix Technologies a corectat această vulnerabilitate în aprilie 2024, în urma unei dezvăluiri responsabile. Lenovo a lansat, de asemenea, actualizări care abordează acest defect luna trecută. Dispozitivele afectate includ cele care utilizează firmware Phoenix SecureCore pe familii de procesoare Intel, cum ar fi Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake și Tiger Lake.
UEFI (Unified Extensible Firmware Interface), succesorul BIOS-ului, este crucial pentru inițializarea componentelor hardware și pentru încărcarea sistemului de operare prin intermediul managerului de boot în timpul pornirii. Deoarece UEFI este primul cod executat cu cele mai înalte privilegii, a devenit o țintă principală pentru actorii amenințărilor care urmăresc să implementeze bootkit-uri și implanturi de firmware. Aceste atacuri pot ocoli mecanismele de securitate și pot menține persistența fără a fi detectate.
Vulnerabilitățile firmware-ului UEFI reprezintă un risc semnificativ pentru lanțul de aprovizionare, afectând simultan numeroase produse și furnizori. După cum a menționat Eclypsium, compromiterea firmware-ului UEFI poate oferi atacatorilor control deplin și persistență asupra dispozitivelor afectate.
Această dezvoltare urmează îndeaproape pe urmele unui alt raport al Eclypsium despre o defecțiune de depășire a tamponului nepatchată în implementarea UEFI de la HP, care afectează HP ProBook 11 EE G1, care a ajuns la sfârșitul vieții în septembrie 2020. În plus, a existat o dezvăluire a un atac software numit TPM GPIO Reset, pe care atacatorii l-ar putea exploata pentru a accesa secretele stocate pe disc de alte sisteme de operare sau pentru a submina controalele protejate de TPM, cum ar fi criptarea discului sau protecțiile de pornire.
A rămâne la curent cu patch-urile de firmware și a înțelege implicațiile acestor vulnerabilități este esențială pentru menținerea securității dispozitivelor de calcul moderne.