Дослідники виявили вразливість UEFI CVE-2024-0762, що впливає на кілька процесорів Intel
Нещодавно дослідники кібербезпеки виявили критичну помилку безпеки у мікропрограмному забезпеченні Phoenix SecureCore UEFI, яка вплинула на численні сімейства настільних і мобільних процесорів Intel Core. Ця вразливість, ідентифікована як CVE-2024-0762 з оцінкою CVSS 7,5, отримала назву «UEFIcanhazbufferoverflow». Це проблема переповнення буфера, спричинена використанням небезпечної змінної в конфігурації Trusted Platform Module (TPM), що потенційно дозволяє виконувати шкідливий код.
Eclypsium, фірма з безпеки ланцюга постачання, повідомила, що ця вразливість дозволяє локальним зловмисникам підвищувати привілеї та виконувати код у мікропрограмному забезпеченні UEFI під час виконання. Цей тип низькорівневої експлуатації нагадує бекдори програмного забезпечення, такі як BlackLotus, які все частіше спостерігаються в дикій природі. Такі експлойти надають зловмисникам постійний доступ до пристрою, часто в обхід заходів безпеки вищого рівня в операційній системі та рівнях програмного забезпечення.
Phoenix Technologies виправила цю вразливість у квітні 2024 року після відповідального розголошення. Минулого місяця Lenovo також випустила оновлення для усунення цієї вади. Уражені пристрої включають пристрої, які використовують мікропрограмне забезпечення Phoenix SecureCore на сімействах процесорів Intel, таких як Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake і Tiger Lake.
UEFI (Unified Extensible Firmware Interface), наступник BIOS, має вирішальне значення для ініціалізації апаратних компонентів і завантаження операційної системи через диспетчер завантаження під час запуску. Оскільки UEFI є першим кодом, який виконується з найвищими привілеями, він став головною мішенню для зловмисників, які прагнуть розгортати буткіти та імплантати програмного забезпечення. Ці атаки можуть обійти механізми безпеки та зберегти постійність без виявлення.
Уразливості в мікропрограмному забезпеченні UEFI створюють значний ризик для ланцюжка поставок, впливаючи одночасно на багато продуктів і постачальників. Як зазначає Eclypsium, компрометація прошивки UEFI може надати зловмисникам повний контроль і збереження на уражених пристроях.
Ця подія слідує за іншим звітом Eclypsium про невиправлену помилку переповнення буфера в реалізації UEFI від HP, що впливає на HP ProBook 11 EE G1, термін служби якого закінчився у вересні 2020 року. Крім того, було розкрито інформацію про програмна атака під назвою TPM GPIO Reset, яку зловмисники можуть використати для доступу до секретів, що зберігаються на диску іншими операційними системами, або підірвати захищені TPM елементи керування, такі як шифрування диска чи захист завантаження.
Оновлення програмного забезпечення та розуміння наслідків цих вразливостей має вирішальне значення для забезпечення безпеки сучасних комп’ютерних пристроїв.