Исследователи обнаружили уязвимость UEFI CVE-2024-0762, затрагивающую несколько процессоров Intel
Недавно исследователи кибербезопасности обнаружили критическую ошибку безопасности в прошивке Phoenix SecureCore UEFI, затрагивающую несколько семейств процессоров Intel Core для настольных и мобильных ПК. Эта уязвимость, обозначенная как CVE-2024-0762 с оценкой CVSS 7,5, получила название «UEFIcanhazbufferoverflow». Это проблема переполнения буфера, вызванная использованием небезопасной переменной в конфигурации доверенного платформенного модуля (TPM), потенциально допускающей выполнение вредоносного кода.
Eclypsium, компания, занимающаяся безопасностью цепочек поставок, сообщила, что эта уязвимость позволяет локальным злоумышленникам повышать привилегии и выполнять код внутри прошивки UEFI во время выполнения. Этот вид низкоуровневой эксплуатации напоминает бэкдоры встроенных программ, такие как BlackLotus, которые все чаще наблюдаются в дикой природе. Такие эксплойты предоставляют злоумышленникам постоянный доступ к устройству, часто в обход мер безопасности более высокого уровня на уровне операционной системы и программного обеспечения.
Phoenix Technologies исправила эту уязвимость в апреле 2024 года после ответственного раскрытия информации. В прошлом месяце Lenovo также выпустила обновления, устраняющие этот недостаток. Затронутые устройства включают устройства, использующие прошивку Phoenix SecureCore на процессорах Intel таких семейств, как Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake и Tiger Lake.
UEFI (унифицированный расширяемый интерфейс прошивки), преемник BIOS, имеет решающее значение для инициализации аппаратных компонентов и загрузки операционной системы через диспетчер загрузки во время запуска. Поскольку UEFI — это первый код, выполняемый с самыми высокими привилегиями, он стал основной мишенью для злоумышленников, стремящихся развернуть буткиты и имплантированные прошивки. Эти атаки могут обходить механизмы безопасности и оставаться незамеченными.
Уязвимости в прошивке UEFI представляют собой значительный риск для цепочки поставок, затрагивая одновременно множество продуктов и поставщиков. Как отмечает Eclypsium, компрометация прошивки UEFI может предоставить злоумышленникам полный контроль и постоянство работы на затронутых устройствах.
Эта разработка последовала сразу за другим отчетом Eclypsium о неисправленной ошибке переполнения буфера в реализации UEFI HP, затронувшей HP ProBook 11 EE G1, срок эксплуатации которой истек в сентябре 2020 года. Кроме того, было раскрыто программная атака под названием TPM GPIO Reset, которую злоумышленники могут использовать для доступа к секретам, хранящимся на диске других операционных систем, или подорвать элементы управления, защищенные TPM, такие как шифрование диска или защита загрузки.
Постоянно получать обновления прошивки и понимать последствия этих уязвимостей имеет решающее значение для обеспечения безопасности современных вычислительных устройств.