Các nhà nghiên cứu phát hiện lỗ hổng UEFI CVE-2024-0762 ảnh hưởng đến một số CPU Intel
Gần đây, các nhà nghiên cứu an ninh mạng đã tiết lộ một lỗ hổng bảo mật nghiêm trọng trong firmware Phoenix SecureCore UEFI, ảnh hưởng đến nhiều dòng bộ xử lý di động và máy tính để bàn Intel Core. Lỗ hổng này được xác định là CVE-2024-0762 với điểm CVSS là 7,5 và được đặt tên là "UEFIcanhazbufferoverflow". Đây là sự cố tràn bộ đệm do sử dụng biến không an toàn trong cấu hình Mô-đun nền tảng đáng tin cậy (TPM), có khả năng cho phép thực thi mã độc.
Eclypsium, một công ty bảo mật chuỗi cung ứng, đã báo cáo rằng lỗ hổng này cho phép kẻ tấn công cục bộ nâng cao đặc quyền và thực thi mã trong phần sụn UEFI trong thời gian chạy. Kiểu khai thác cấp độ thấp này gợi nhớ đến các backdoor firmware như BlackLotus, ngày càng được quan sát thấy trong tự nhiên. Những cách khai thác như vậy cấp cho kẻ tấn công quyền truy cập liên tục vào thiết bị, thường bỏ qua các biện pháp bảo mật cấp cao hơn trong hệ điều hành và các lớp phần mềm.
Phoenix Technologies đã vá lỗ hổng này vào tháng 4 năm 2024 sau khi tiết lộ một cách có trách nhiệm. Lenovo cũng đã phát hành bản cập nhật giải quyết lỗ hổng này vào tháng trước. Các thiết bị bị ảnh hưởng bao gồm những thiết bị sử dụng firmware Phoenix SecureCore trên các dòng bộ xử lý Intel như Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake và Tiger Lake.
UEFI (Giao diện phần mềm mở rộng hợp nhất), phiên bản kế thừa của BIOS, rất quan trọng để khởi tạo các thành phần phần cứng và tải hệ điều hành thông qua trình quản lý khởi động trong khi khởi động. Vì UEFI là mã đầu tiên được thực thi với đặc quyền cao nhất nên nó đã trở thành mục tiêu hàng đầu cho các tác nhân đe dọa nhằm triển khai bộ khởi động và cấy ghép chương trình cơ sở. Những cuộc tấn công này có thể vượt qua các cơ chế bảo mật và duy trì sự tồn tại lâu dài mà không bị phát hiện.
Các lỗ hổng trong phần sụn UEFI gây ra rủi ro đáng kể cho chuỗi cung ứng, ảnh hưởng đến nhiều sản phẩm và nhà cung cấp cùng một lúc. Như Eclypsium đã lưu ý, việc xâm phạm firmware UEFI có thể cấp cho kẻ tấn công toàn quyền kiểm soát và tồn tại lâu dài trên các thiết bị bị ảnh hưởng.
Diễn biến này diễn ra ngay sau một báo cáo khác của Eclypsium về một lỗ hổng tràn bộ đệm chưa được vá trong quá trình triển khai UEFI của HP, ảnh hưởng đến HP ProBook 11 EE G1, đã đạt đến trạng thái hết hạn sử dụng vào tháng 9 năm 2020. Ngoài ra, còn có một tiết lộ về một cuộc tấn công phần mềm có tên TPM GPIO Reset, kẻ tấn công có thể khai thác để truy cập các bí mật được lưu trữ trên đĩa bởi các hệ điều hành khác hoặc làm suy yếu các biện pháp kiểm soát được bảo vệ bởi TPM như mã hóa ổ đĩa hoặc bảo vệ khởi động.
Luôn cập nhật các bản vá chương trình cơ sở và hiểu rõ tác động của các lỗ hổng này là rất quan trọng để duy trì tính bảo mật của các thiết bị máy tính hiện đại.