研究人员发现影响多款英特尔 CPU 的 UEFI 漏洞 CVE-2024-0762
最近,网络安全研究人员发现了 Phoenix SecureCore UEFI 固件中的一个严重安全漏洞,影响了多个系列的 Intel Core 台式机和移动处理器。该漏洞被标识为 CVE-2024-0762,CVSS 评分为 7.5,被命名为“UEFIcanhazbufferoverflow”。这是一个缓冲区溢出问题,由可信平台模块 (TPM) 配置中使用不安全变量导致,可能允许执行恶意代码。
供应链安全公司 Eclypsium 报告称,此漏洞可使本地攻击者提升权限并在运行时在 UEFI 固件中执行代码。这种低级利用让人想起 BlackLotus 等固件后门,这些后门在野外越来越常见。此类利用可让攻击者获得对设备的持久访问权限,通常会绕过操作系统和软件层中更高级别的安全措施。
Phoenix Technologies 在负责任地披露后于 2024 年 4 月修补了此漏洞。联想上个月也发布了解决此漏洞的更新。受影响的设备包括在英特尔处理器系列上使用 Phoenix SecureCore 固件的设备,例如 Alder Lake、Coffee Lake、Comet Lake、Ice Lake、Jasper Lake、Kaby Lake、Meteor Lake、Raptor Lake、Rocket Lake 和 Tiger Lake。
UEFI(统一可扩展固件接口)是 BIOS 的后继者,对于在启动期间初始化硬件组件和通过引导管理器加载操作系统至关重要。由于 UEFI 是第一个以最高权限执行的代码,因此它已成为威胁行为者部署引导程序和固件植入程序的主要目标。这些攻击可以绕过安全机制并保持持久性而不被发现。
UEFI 固件中的漏洞会造成重大的供应链风险,同时影响众多产品和供应商。正如 Eclypsium 所指出的,入侵 UEFI 固件可让攻击者完全控制受影响的设备并保持持久性。
紧随其后的是 Eclypsium 的另一份报告,该报告称 HP 的 UEFI 实施中存在未修补的缓冲区溢出漏洞,该漏洞影响了 HP ProBook 11 EE G1,该设备已于 2020 年 9 月停产。此外,还披露了一个名为 TPM GPIO Reset 的软件攻击,攻击者可以利用该攻击访问其他操作系统存储在磁盘上的机密信息,或破坏受 TPM 保护的控制,例如磁盘加密或启动保护。
及时更新固件补丁并了解这些漏洞的影响对于维护现代计算设备的安全至关重要。