Çeşitli Intel CPU'ları Etkileyen UEFI CVE-2024-0762 Güvenlik Açığı Araştırmacılar Tarafından Ortaya Çıkarıldı
Son zamanlarda siber güvenlik araştırmacıları, Phoenix SecureCore UEFI donanım yazılımında birden fazla Intel Core masaüstü ve mobil işlemci ailesini etkileyen kritik bir güvenlik açığını ortaya çıkardı. CVSS puanı 7,5 olan ve CVE-2024-0762 olarak tanımlanan bu güvenlik açığına "UEFIcanhazbufferoverflow" adı verildi. Bu, Güvenilir Platform Modülü (TPM) yapılandırmasında güvenli olmayan bir değişkenin kullanılmasından kaynaklanan ve potansiyel olarak kötü amaçlı kod yürütülmesine izin veren bir arabellek taşması sorunudur.
Bir tedarik zinciri güvenlik firması olan Eclypsium, bu güvenlik açığının yerel saldırganların ayrıcalıkları yükseltmesine ve çalışma zamanı sırasında UEFI ürün yazılımı içinde kod yürütmesine olanak tanıdığını bildirdi. Bu tür düşük seviyeli istismar, doğada giderek daha fazla gözlemlenen BlackLotus gibi donanım yazılımı arka kapılarını anımsatıyor. Bu tür istismarlar, saldırganlara genellikle işletim sistemi ve yazılım katmanlarındaki üst düzey güvenlik önlemlerini atlayarak bir cihaza kalıcı erişim sağlar.
Phoenix Technologies, sorumlu bir açıklamanın ardından bu güvenlik açığını Nisan 2024'te yamaladı. Lenovo ayrıca geçen ay bu kusuru gideren güncellemeler yayınladı. Etkilenen cihazlar arasında Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake ve Tiger Lake gibi Intel işlemci ailelerinde Phoenix SecureCore ürün yazılımını kullanan cihazlar yer alıyor.
BIOS'un halefi olan UEFI (Birleşik Genişletilebilir Ürün Yazılımı Arayüzü), donanım bileşenlerinin başlatılması ve başlatma sırasında işletim sisteminin önyükleme yöneticisi aracılığıyla yüklenmesi için çok önemlidir. UEFI, en yüksek ayrıcalıklarla çalıştırılan ilk kod olduğundan, önyükleme kitleri ve donanım yazılımı yerleştirmeyi amaçlayan tehdit aktörlerinin ana hedefi haline geldi. Bu saldırılar güvenlik mekanizmalarını atlayabilir ve tespit edilmeden kalıcılığı koruyabilir.
UEFI ürün yazılımındaki güvenlik açıkları, çok sayıda ürünü ve satıcıyı aynı anda etkileyen önemli bir tedarik zinciri riski oluşturur. Eclypsium'un belirttiği gibi, UEFI ürün yazılımının tehlikeye atılması, saldırganlara etkilenen cihazlar üzerinde tam kontrol ve kalıcılık sağlayabilir.
Bu gelişme, Eclypsium tarafından HP'nin UEFI uygulamasındaki, Eylül 2020'de kullanım ömrü sonu durumuna ulaşan HP ProBook 11 EE G1'i etkileyen yamalanmamış bir arabellek taşması hatasıyla ilgili başka bir raporun hemen ardından geldi. Saldırganların diğer işletim sistemleri tarafından diskte depolanan gizli bilgilere erişmek veya disk şifreleme veya önyükleme korumaları gibi TPM korumalı kontrolleri zayıflatmak için kullanabilecekleri TPM GPIO Reset adlı bir yazılım saldırısı.
Ürün yazılımı yamalarıyla güncel kalmak ve bu güvenlik açıklarının sonuçlarını anlamak, modern bilgi işlem cihazlarının güvenliğini korumak açısından kritik öneme sahiptir.