O vulnerabilitate nou descoperită în firmware-ul Phoenix SecureCore UEFI, urmărită ca CVE-2024-0762, afectează dispozitivele care rulează numeroase procesoare Intel, cu Lenovo lansând deja noi actualizări de firmware pentru a rezolva defectul.
Vulnerabilitatea, numită ‘UEFICANHAZBUFFEROVERFLOW,’ este o eroare de depășire a buffer-ului în configurarea modulului platformei de încredere (TPM) a firmware-ului, care ar putea fi exploatată pentru a executa cod pe dispozitivele vulnerabile.
Defectul a fost descoperit de Eclypsium, care l-a identificat pe dispozitivele Lenovo ThinkPad X1 Carbon 7th Gen și X1 Yoga 4th Gen, dar ulterior a confirmat cu Phoenix că afectează firmware-ul SecureCore pentru procesoarele Intel Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake și Tiger Lake de asemenea.
Datorită numărului mare de procesoare Intel care utilizează acest firmware, vulnerabilitatea are potențialul de a afecta sute de modele de la Lenovo, Dell, Acer și HP.
Firmware-ul UEFI este considerat mai sigur deoarece include Secure Boot, care este acceptat de toate sistemele de operare moderne, inclusiv Windows, macOS și Linux. Secure Boot confirmă criptografic că un dispozitiv este bootat doar folosind drivere și software de încredere, blocând procesul de boot dacă detectează software rău intenționat.
Deoarece Secure Boot face mult mai dificil pentru actorii de amenințare să instaleze malware și drivere de boot persistente, bug-urile UEFI au devenit din ce în ce mai vizate pentru a crea malware numit bootkit-uri.
Bootkit-urile sunt malware care se încarcă foarte devreme în procesul de boot UEFI, oferind programelor rău intenționate acces la nivel scăzut la operație și făcându-le foarte greu de detectat, așa cum am văzut la malware-urile UEFI BlackLotus, CosmicStrand și MosaicAggressor.
Eclypsium spune că defectul pe care l-au găsit se află într-o depășire de buffer în cadrul subsistemului Modei de Management al Sistemului (SMM) al firmware-ului Phoenix SecureCore, permițând atacatorilor să suprascrie potențial memoria adiacentă.
Dacă memoria ar fi suprascrisă cu datele corecte, un atacator ar putea potențial să-și ridice privilegiile și să obțină abilități de execuție a codului în firmware pentru a instala malware bootkit.
‘Problema implică o variabilă nesigură în configurarea modulului platformei de încredere (TPM) care ar putea duce la o depășire a buffer-ului și execuție potențială de cod rău intenționat,’ avertizează Eclypsium.
‘Pentru a fi clar, această vulnerabilitate se află în codul UEFI care gestionează configurarea TPM – cu alte cuvinte, nu contează dacă aveți un chip de securitate cum ar fi un TPM dacă codul subiacent este defectuos.’
După descoperirea bug-ului, Eclypsium a coordonat o divulgare cu Phoenix și Lenovo pentru a remedia defectele.
În aprilie, Phoenix a emis un avertisment și Lenovo a început să lanseze noi firmware-uri în mai pentru a rezolva vulnerabilitățile în peste 150 de modele diferite. Este important de menționat că nu toate modelele au firmware disponibil în acest moment, multe fiind planificate pentru mai târziu în acest an.
Leave a Reply