UEFI CVE-2024-0762 Sårbarhet som påverkar flera Intel-processorer som upptäckts av forskare
Nyligen avslöjade cybersäkerhetsforskare ett kritiskt säkerhetsbrist i Phoenix SecureCore UEFI-firmware, som påverkar flera familjer av Intel Core stationära och mobila processorer. Denna sårbarhet, identifierad som CVE-2024-0762 med ett CVSS-poäng på 7,5, har fått namnet "UEFIcanhazbufferoverflow." Det är ett problem med buffertspill som orsakas av användningen av en osäker variabel i Trusted Platform Module (TPM)-konfigurationen, vilket potentiellt tillåter exekvering av skadlig kod.
Eclypsium, ett säkerhetsföretag i försörjningskedjan, rapporterade att denna sårbarhet gör det möjligt för lokala angripare att eskalera privilegier och exekvera kod i UEFI-firmwaren under körning. Den här typen av exploatering på låg nivå påminner om firmware-bakdörrar som BlackLotus, som har observerats alltmer i det vilda. Sådana utnyttjande ger angripare beständig åtkomst till en enhet, ofta kringgå högre säkerhetsåtgärder i operativsystemet och mjukvaruskikten.
Phoenix Technologies korrigerade denna sårbarhet i april 2024 efter ansvarsfullt avslöjande. Lenovo släppte också uppdateringar som åtgärdar detta fel förra månaden. De berörda enheterna inkluderar de som använder Phoenix SecureCore firmware på Intel-processorfamiljer som Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake och Tiger Lake.
UEFI (Unified Extensible Firmware Interface), efterföljaren till BIOS, är avgörande för att initiera hårdvarukomponenter och ladda operativsystemet via starthanteraren under uppstart. Eftersom UEFI är den första koden som körs med de högsta privilegierna, har den blivit ett främsta mål för hotaktörer som siktar på att distribuera bootkits och firmware-implantat. Dessa attacker kan kringgå säkerhetsmekanismer och bibehålla uthållighet utan upptäckt.
Sårbarheter i UEFI-firmware utgör en betydande risk för leveranskedjan, som påverkar många produkter och leverantörer samtidigt. Som Eclypsium noterade, kan kompromissande UEFI-firmware ge angripare full kontroll och uthållighet på de berörda enheterna.
Denna utveckling följer tätt i hälarna på en annan rapport från Eclypsium om en oparpad buffertspillbrist i HP:s UEFI-implementering, som påverkar HP ProBook 11 EE G1, som nådde uttjänt status i september 2020. Dessutom var det ett avslöjande om en mjukvaruattack med namnet TPM GPIO Reset, som angripare kan utnyttja för att komma åt hemligheter lagrade på disk av andra operativsystem eller undergräva TPM-skyddade kontroller som diskkryptering eller startskydd.
Att hålla sig uppdaterad med firmware-patchar och förstå konsekvenserna av dessa sårbarheter är avgörande för att upprätthålla säkerheten hos moderna datorenheter.