Исследователи в области кибербезопасности выявили и описали новую уязвимость в прошивке Phoenix SecureCore UEFI, которая затрагивает несколько семейств настольных и мобильных процессоров Intel.
Уязвимость, отслеживаемая как CVE-2024-0762 с оценкой CVSS 7.5, получила название “UEFIcanhazbufferoverflow”. Она представляет собой переполнение буфера, возникающее из-за использования небезопасной переменной в конфигурации модуля TPM, что может привести к выполнению вредоносного кода.
Компания Eclypsium, специализирующаяся на безопасности цепочек поставок, в своём отчёте отметила, что эта уязвимость позволяет локальному атакующему повысить привилегии и выполнить код в прошивке UEFI во время запуска.
Такого рода низкоуровневые эксплойты часто встречаются в случае бэкдоров в прошивке, подобных BlackLotus, которые становятся всё более распространёнными. Эти импланты дают атакующим постоянный доступ к устройству и возможность обходить более высокоуровневые меры безопасности, работающие в операционной системе и программном обеспечении.
Уязвимость CVE-2024-0762 затрагивает устройства с прошивкой Phoenix SecureCore, работающие на некоторых семействах процессоров Intel, включая AlderLake, CoffeeLake, CometLake, IceLake, JasperLake, KabyLake, MeteorLake, RaptorLake, RocketLake и TigerLake.
Уязвимость была устранена компанией Phoenix Technologies в апреле 2024 года, вскоре после ответственного раскрытия. Производитель персональных компьютеров Lenovo также уже выпустил обновления для устранения этой уязвимости в прошлом месяце.
UEFI, являющаяся преемником BIOS, представляет собой прошивку материнской платы, используемую при запуске для инициализации аппаратных компонентов и загрузки операционной системы через менеджер загрузки.
Факт того, что UEFI является первым кодом, запускаемым с наивысшими привилегиями, делает его привлекательной целью для злоумышленников, стремящихся внедрить буткиты и импланты прошивки, способные обойти меры безопасности и обеспечить длительное присутствие на устройстве без обнаружения.
Это также означает, что уязвимости, выявленные в прошивке UEFI, могут представлять серьёзную угрозу для цепочки поставок, так как они способны повлиять на множество продуктов и поставщиков одновременно.
Eclypsium подчеркнула, что прошивка UEFI является одним из наиболее ценных кодов на современных устройствах, и любая её компрометация может дать атакующим полный контроль и постоянный доступ к устройству.
Эти события произошли почти через месяц после того, как компания Eclypsium раскрылааналогичную уязвимость переполнения буфера в реализации UEFI от HP, затрагивающую устройство HP ProBook 11 EE G1, которое было снято с производства в сентябре 2020 года.
Чтобы избежать компрометации, пользователям материнских плат с прошивкой от Phoenix Technologies рекомендуется следить за обновлениями UEFI на официальном сайте своей платы и обновить прошивку, как только исправление станет доступно.