UEFI CVE-2024-0762 Vulnerability na Nakakaapekto sa Ilang Intel CPU na Natuklasan ng Mga Mananaliksik
Kamakailan, ang mga mananaliksik sa cybersecurity ay nagpahayag ng isang kritikal na depekto sa seguridad sa Phoenix SecureCore UEFI firmware, na nakakaapekto sa maraming pamilya ng Intel Core desktop at mga mobile processor. Ang kahinaan na ito, na kinilala bilang CVE-2024-0762 na may marka ng CVSS na 7.5, ay pinangalanang "UEFIcanhazbufferoverflow." Isa itong isyu sa buffer overflow na dulot ng paggamit ng hindi ligtas na variable sa configuration ng Trusted Platform Module (TPM), na posibleng magpapahintulot sa pagpapatupad ng malisyosong code.
Ang Eclypsium, isang kompanya ng seguridad ng supply chain, ay nag-ulat na ang kahinaang ito ay nagbibigay-daan sa mga lokal na umaatake na palakihin ang mga pribilehiyo at isagawa ang code sa loob ng UEFI firmware sa panahon ng runtime. Ang ganitong uri ng mababang antas na pagsasamantala ay nakapagpapaalaala sa mga backdoor ng firmware tulad ng BlackLotus, na lalong naobserbahan sa ligaw. Ang ganitong mga pagsasamantala ay nagbibigay sa mga umaatake ng patuloy na pag-access sa isang device, kadalasang nilalampasan ang mas mataas na antas ng mga hakbang sa seguridad sa operating system at mga layer ng software.
Inayos ng Phoenix Technologies ang kahinaang ito noong Abril 2024 kasunod ng responsableng pagsisiwalat. Naglabas din ang Lenovo ng mga update na tumutugon sa kapintasan na ito noong nakaraang buwan. Kasama sa mga apektadong device ang mga gumagamit ng Phoenix SecureCore firmware sa mga pamilya ng processor ng Intel tulad ng Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake, at Tiger Lake.
Ang UEFI (Unified Extensible Firmware Interface), ang kahalili sa BIOS, ay mahalaga para sa pagsisimula ng mga bahagi ng hardware at pag-load ng operating system sa pamamagitan ng boot manager sa panahon ng startup. Dahil ang UEFI ay ang unang code na naisakatuparan na may pinakamataas na pribilehiyo, ito ay naging pangunahing target para sa mga aktor ng pagbabanta na naglalayong mag-deploy ng mga bootkit at firmware implants. Maaaring lampasan ng mga pag-atakeng ito ang mga mekanismo ng seguridad at mapanatili ang pagtitiyaga nang walang pagtuklas.
Ang mga kahinaan sa UEFI firmware ay nagdudulot ng malaking panganib sa supply chain, na nakakaapekto sa maraming produkto at vendor nang sabay-sabay. Gaya ng nabanggit ng Eclypsium, ang pagkompromiso ng UEFI firmware ay maaaring magbigay sa mga umaatake ng ganap na kontrol at pagtitiyaga sa mga apektadong device.
Ang pag-unlad na ito ay sumusunod nang malapit sa mga takong ng isa pang ulat ng Eclypsium tungkol sa isang hindi natatakpan na buffer overflow na depekto sa pagpapatupad ng UEFI ng HP, na nakakaapekto sa HP ProBook 11 EE G1, na umabot sa end-of-life status noong Setyembre 2020. Bukod pa rito, nagkaroon ng pagbubunyag ng isang pag-atake ng software na pinangalanang TPM GPIO Reset, na maaaring pagsamantalahan ng mga umaatake upang ma-access ang mga lihim na nakaimbak sa disk ng iba pang mga operating system o pahinain ang mga kontrol na protektado ng TPM tulad ng disk encryption o mga proteksyon sa boot.
Ang pananatiling updated sa mga patch ng firmware at pag-unawa sa mga implikasyon ng mga kahinaang ito ay kritikal para sa pagpapanatili ng seguridad ng mga modernong computing device.