Zraniteľnosť UEFI CVE-2024-0762 ovplyvňujúca niekoľko procesorov Intel odhalili výskumníci
Nedávno výskumníci v oblasti kybernetickej bezpečnosti odhalili kritickú bezpečnostnú chybu vo firmvéri Phoenix SecureCore UEFI, ktorá má vplyv na viaceré rodiny procesorov Intel Core pre stolné počítače a mobilné zariadenia. Táto chyba zabezpečenia, označená ako CVE-2024-0762 so skóre CVSS 7,5, bola nazvaná „UEFIcanhazbufferoverflow“. Ide o problém s pretečením vyrovnávacej pamäte spôsobený použitím nebezpečnej premennej v konfigurácii modulu Trusted Platform Module (TPM), ktorá potenciálne umožňuje spustenie škodlivého kódu.
Eclypsium, bezpečnostná firma pre dodávateľský reťazec, oznámila, že táto zraniteľnosť umožňuje miestnym útočníkom eskalovať privilégiá a spúšťať kód v rámci firmvéru UEFI počas behu. Tento druh využívania na nízkej úrovni pripomína zadné vrátka firmvéru, ako je BlackLotus, ktoré boli čoraz častejšie pozorované vo voľnej prírode. Takéto zneužitia poskytujú útočníkom trvalý prístup k zariadeniu, pričom často obchádzajú bezpečnostné opatrenia vyššej úrovne v operačnom systéme a softvérových vrstvách.
Spoločnosť Phoenix Technologies opravila túto chybu zabezpečenia v apríli 2024 po zodpovednom zverejnení. Spoločnosť Lenovo tiež minulý mesiac vydala aktualizácie, ktoré riešia túto chybu. Medzi dotknuté zariadenia patria zariadenia, ktoré používajú firmvér Phoenix SecureCore na rodinách procesorov Intel, ako sú Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake a Tiger Lake.
UEFI (Unified Extensible Firmware Interface), nástupca systému BIOS, je rozhodujúci pre inicializáciu hardvérových komponentov a načítanie operačného systému cez boot manažéra počas spúšťania. Keďže UEFI je prvý kód spustený s najvyššími privilégiami, stal sa hlavným cieľom pre aktérov hroziacich, ktorí chcú nasadiť bootkity a implantáty firmvéru. Tieto útoky môžu obísť bezpečnostné mechanizmy a zachovať perzistenciu bez detekcie.
Zraniteľnosť firmvéru UEFI predstavuje významné riziko pre dodávateľský reťazec a súčasne ovplyvňuje množstvo produktov a predajcov. Ako poznamenal Eclypsium, kompromitácia firmvéru UEFI môže útočníkom poskytnúť plnú kontrolu a vytrvalosť na postihnutých zariadeniach.
Tento vývoj tesne nadväzuje na ďalšiu správu od spoločnosti Eclypsium o neopravenej chybe pretečenia vyrovnávacej pamäte v implementácii UEFI spoločnosti HP, ktorá ovplyvňuje HP ProBook 11 EE G1, ktorý dosiahol stav konca životnosti v septembri 2020. Okrem toho došlo k odhaleniu softvérový útok s názvom TPM GPIO Reset, ktorý by útočníci mohli zneužiť na prístup k tajomstvám uloženým na disku inými operačnými systémami alebo podkopať ovládacie prvky chránené TPM, ako je šifrovanie disku alebo ochrana pri zavádzaní.
Aktualizácia firmvéru a pochopenie dôsledkov týchto zraniteľností je rozhodujúce pre zachovanie bezpečnosti moderných počítačových zariadení.