UEFI CVE-2024-0762 ช่องโหว่ที่ส่งผลกระทบต่อ CPU Intel หลายตัวที่ถูกค้นพบโดยนักวิจัย
เมื่อเร็วๆ นี้ นักวิจัยด้านความปลอดภัยทางไซเบอร์เปิดเผยข้อบกพร่องด้านความปลอดภัยที่สำคัญในเฟิร์มแวร์ Phoenix SecureCore UEFI ซึ่งส่งผลกระทบต่อโปรเซสเซอร์เดสก์ท็อปและโมบายล์ Intel Core หลายตระกูล ช่องโหว่นี้ ซึ่งระบุเป็น CVE-2024-0762 ด้วยคะแนน CVSS 7.5 ได้รับการตั้งชื่อว่า "UEFIcanhazbufferoverflow" เป็นปัญหาบัฟเฟอร์ล้นที่เกิดจากการใช้ตัวแปรที่ไม่ปลอดภัยในการกำหนดค่า Trusted Platform Module (TPM) ซึ่งอาจทำให้เกิดการเรียกใช้โค้ดที่เป็นอันตราย
Eclypsium บริษัทรักษาความปลอดภัยในห่วงโซ่อุปทาน รายงานว่าช่องโหว่นี้ทำให้ผู้โจมตีในพื้นที่เพิ่มระดับสิทธิ์และรันโค้ดภายในเฟิร์มแวร์ UEFI ในระหว่างรันไทม์ได้ การแสวงหาประโยชน์ในระดับต่ำประเภทนี้ชวนให้นึกถึงแบ็คดอร์ของเฟิร์มแวร์เช่น BlackLotus ซึ่งถูกพบเห็นมากขึ้นในป่า การโจมตีดังกล่าวทำให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์ได้อย่างต่อเนื่อง โดยมักจะข้ามมาตรการรักษาความปลอดภัยระดับสูงในระบบปฏิบัติการและเลเยอร์ซอฟต์แวร์
Phoenix Technologies ได้แก้ไขช่องโหว่นี้ในเดือนเมษายน 2024 หลังจากการเปิดเผยข้อมูลอย่างมีความรับผิดชอบ Lenovo ยังเผยแพร่การอัปเดตเพื่อแก้ไขข้อบกพร่องนี้เมื่อเดือนที่แล้ว อุปกรณ์ที่ได้รับผลกระทบ ได้แก่ อุปกรณ์ที่ใช้เฟิร์มแวร์ Phoenix SecureCore บนตระกูลโปรเซสเซอร์ Intel เช่น Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake และ Tiger Lake
UEFI (Unified Extensible Firmware Interface) ซึ่งเป็นผู้สืบทอดต่อจาก BIOS มีความสำคัญอย่างยิ่งในการเริ่มต้นส่วนประกอบฮาร์ดแวร์และการโหลดระบบปฏิบัติการผ่านทางตัวจัดการการบูตระหว่างการเริ่มต้นระบบ เนื่องจาก UEFI เป็นโค้ดแรกที่ดำเนินการด้วยสิทธิพิเศษสูงสุด จึงกลายเป็นเป้าหมายสำคัญสำหรับผู้คุกคามที่มีเป้าหมายในการปรับใช้บูทคิทและการติดตั้งเฟิร์มแวร์ การโจมตีเหล่านี้สามารถเลี่ยงผ่านกลไกการรักษาความปลอดภัยและรักษาความคงอยู่โดยไม่มีการตรวจจับ
ช่องโหว่ในเฟิร์มแวร์ UEFI ก่อให้เกิดความเสี่ยงในห่วงโซ่อุปทานที่สำคัญ ซึ่งส่งผลกระทบต่อผลิตภัณฑ์และผู้ขายจำนวนมากพร้อมกัน ตามที่ Eclypsium ระบุไว้ การประนีประนอมเฟิร์มแวร์ UEFI สามารถทำให้ผู้โจมตีสามารถควบคุมและคงอยู่บนอุปกรณ์ที่ได้รับผลกระทบได้เต็มรูปแบบ
การพัฒนานี้ตามมาอย่างใกล้ชิดหลังจากรายงานอื่นของ Eclypsium เกี่ยวกับข้อบกพร่องบัฟเฟอร์ล้นที่ยังไม่ได้แพตช์ในการใช้งาน UEFI ของ HP ซึ่งส่งผลกระทบต่อ HP ProBook 11 EE G1 ซึ่งถึงสถานะสิ้นสุดอายุการใช้งานในเดือนกันยายน 2020 นอกจากนี้ยังมีการเปิดเผยของ การโจมตีด้วยซอฟต์แวร์ชื่อ TPM GPIO Reset ซึ่งผู้โจมตีสามารถโจมตีเพื่อเข้าถึงความลับที่เก็บไว้ในดิสก์โดยระบบปฏิบัติการอื่น หรือบ่อนทำลายการควบคุมที่ได้รับการป้องกันด้วย TPM เช่น การเข้ารหัสดิสก์หรือการป้องกันการบูต
การอัปเดตแพตช์เฟิร์มแวร์และการทำความเข้าใจผลกระทบของช่องโหว่เหล่านี้เป็นสิ่งสำคัญในการรักษาความปลอดภัยของอุปกรณ์คอมพิวเตอร์สมัยใหม่