Raziskovalci so odkrili ranljivost UEFI CVE-2024-0762, ki vpliva na več procesorjev Intel
Pred kratkim so raziskovalci kibernetske varnosti razkrili kritično varnostno napako v vdelani programski opremi Phoenix SecureCore UEFI, ki vpliva na več družin namiznih in mobilnih procesorjev Intel Core. Ta ranljivost, identificirana kot CVE-2024-0762 z oceno CVSS 7,5, je bila imenovana "UEFIcanhazbufferoverflow." Gre za težavo s prekoračitvijo medpomnilnika, ki jo povzroči uporaba nevarne spremenljivke v konfiguraciji modula zaupanja vredne platforme (TPM), kar lahko omogoči izvajanje zlonamerne kode.
Eclypsium, podjetje za varnost dobavne verige, je poročalo, da ta ranljivost lokalnim napadalcem omogoča stopnjevanje privilegijev in izvajanje kode znotraj vdelane programske opreme UEFI med izvajanjem. Ta vrsta izkoriščanja na nizki ravni spominja na stranska vrata vdelane programske opreme, kot je BlackLotus, ki jih vse pogosteje opažamo v naravi. Takšna izkoriščanja napadalcem omogočajo trajen dostop do naprave, pri čemer pogosto obidejo varnostne ukrepe višje ravni v slojih operacijskega sistema in programske opreme.
Phoenix Technologies je to ranljivost popravil aprila 2024 po odgovornem razkritju. Lenovo je prejšnji mesec izdal tudi posodobitve, ki obravnavajo to napako. Prizadete naprave vključujejo tiste, ki uporabljajo vdelano programsko opremo Phoenix SecureCore v družinah procesorjev Intel, kot so Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake in Tiger Lake.
UEFI (Unified Extensible Firmware Interface), naslednik BIOS-a, je ključen za inicializacijo komponent strojne opreme in nalaganje operacijskega sistema prek upravitelja zagona med zagonom. Ker je UEFI prva koda, ki se izvaja z najvišjimi privilegiji, je postal glavna tarča akterjev groženj, ki si prizadevajo za uvajanje zagonskih kompletov in vsadkov vdelane programske opreme. Ti napadi lahko obidejo varnostne mehanizme in ohranijo obstojnost brez odkritja.
Ranljivosti v vdelani programski opremi UEFI predstavljajo veliko tveganje za dobavno verigo, saj hkrati vplivajo na številne izdelke in prodajalce. Kot je opozoril Eclypsium, lahko ogrožanje vdelane programske opreme UEFI napadalcem omogoči popoln nadzor in obstojnost na prizadetih napravah.
Ta razvoj je sledil drugemu poročilu Eclypsiuma o nepopravljeni napaki prekoračitve medpomnilnika v HP-jevi implementaciji UEFI, ki vpliva na HP ProBook 11 EE G1, ki je septembra 2020 dosegel status konca življenjske dobe. Poleg tega je bilo razkrito napad na programsko opremo, imenovan TPM GPIO Reset, ki bi ga napadalci lahko izkoristili za dostop do skrivnosti, shranjenih na disku v drugih operacijskih sistemih, ali spodkopali nadzor, zaščiten s TPM, kot je šifriranje diska ali zagonska zaščita.
Posodobljenost s popravki vdelane programske opreme in razumevanje posledic teh ranljivosti je ključnega pomena za ohranjanje varnosti sodobnih računalniških naprav.