研究人員發現影響多款 Intel CPU 的 UEFI CVE-2024-0762 漏洞
最近,網路安全研究人員披露了 Phoenix SecureCore UEFI 韌體中的一個嚴重安全漏洞,影響了多個英特爾酷睿桌上型電腦和行動處理器系列。該漏洞被識別為 CVE-2024-0762,CVSS 評分為 7.5,被命名為「UEFIcanhazbufferoverflow」。這是由於在可信任平台模組 (TPM) 配置中使用不安全變數而導致的緩衝區溢位問題,可能允許執行惡意程式碼。
供應鏈安全公司 Eclypsium 報告稱,該漏洞使本地攻擊者能夠在運行時提升權限並在 UEFI 韌體內執行程式碼。這種低級利用讓人想起像 BlackLotus 這樣的韌體後門,這種後門在野外越來越多地被觀察到。此類漏洞使攻擊者能夠持續存取設備,通常繞過作業系統和軟體層中的更高層級的安全措施。
Phoenix Technologies 在負責任地披露後於 2024 年 4 月修復了此漏洞。聯想上個月也發布了解決此缺陷的更新。受影響的設備包括在Alder Lake、Coffee Lake、Comet Lake、Ice Lake、Jasper Lake、Kaby Lake、Meteor Lake、Raptor Lake、Rocket Lake 和Tiger Lake 等英特爾處理器係列上使用Phoenix SecureCore 韌體的設備。
UEFI(統一可擴展韌體介面)是 BIOS 的後繼者,對於初始化硬體元件以及在啟動期間透過啟動管理器載入作業系統至關重要。由於 UEFI 是第一個以最高權限執行的程式碼,因此它已成為旨在部署 bootkit 和韌體植入的威脅參與者的主要目標。這些攻擊可以繞過安全機制並在不被發現的情況下保持持久性。
UEFI 韌體中的漏洞會帶來重大的供應鏈風險,同時影響眾多產品和供應商。正如 Eclypsium 指出的,受損的 UEFI 韌體可以讓攻擊者完全控制並持久保留受影響的設備。
這項進展緊接著 Eclypsium 的另一份報告,該報告涉及 HP UEFI 實施中未修補的緩衝區溢位缺陷,該缺陷影響了 HP ProBook 11 EE G1,該產品已於 2020 年 9 月達到停產狀態。為TPM GPIO Reset 的軟體攻擊,攻擊者可利用該攻擊存取其他作業系統儲存在磁碟上的機密,或破壞受TPM 保護的控制,例如磁碟加密或啟動保護。
保持韌體修補程式更新並了解這些漏洞的影響對於維護現代計算設備的安全至關重要。