Luka w zabezpieczeniach Phoenix UEFI to zagrożenie setek modeli komputerów Intel

Groźna podatność została wykryta w firmware Phoenix SecureCore UEFI. Usterka została odkryta przez firmę Eclypsium, która zidentyfikowała ją na urządzeniach Lenovo ThinkPad X1 Carbon 7. generacji i X1 Yoga 4. generacji, ale później sprawdziła, że wpływa ona także na firmware SecureCore dla procesorów Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake , Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake i Tiger Lake.
Henryk Tur
21.06.2024|Przeczytasz w 2 minuty
Zabezpieczanie interfejsów API weszło na nowy poziom, zintegrowano Ammune z NVIDIA BlueField-2,
Zabezpieczanie interfejsów API weszło na nowy poziom, zintegrowano Ammune z NVIDIA BlueField-2,

Podatność została oznaczona jako CVE-2024-0762. Luka nazwana „UEFICANHAZBUFFEROVERFLOW”, to błąd polegający na przepełnieniu bufora w konfiguracji modułu TPM (Trusted Platform Module) firmware. Po doprowadzeniu do takiej sytuacji można wykonać dowolny kod na podatnych na ataki urządzeniach.

UEFI może stać się celem ataku

UEFI to oprogramowanie stanowiące interfejs pomiędzy systemem operacyjnym a firmware. Zastąpiło ono przestarzały już nieco BIOS. Każdy producent ma swoje firmware, a ponieważ używane jest ono w różnych urządzeniach, najnowsze może mieć wpływ na setki modeli urządzeń takich producentów, jak Lenovo, Dell, Acer i HP. Lenovo zareagowało jako pierwsze i już udostępnia aktualizację firmware, której celem jest usunięcie podatności.

Oprogramowanie układowe UEFI jest uważane za bezpieczne, ponieważ obejmuje funkcję Secure Boot, która jest obsługiwana przez wszystkie nowoczesne systemy operacyjne, w tym Windows, macOS i Linux. Bezpieczny rozruch potwierdza, że ​​urządzenie jest uruchamiane wyłącznie przy użyciu zaufanych sterowników i oprogramowania, blokując proces rozruchu w przypadku wykrycia złośliwego.

Ponieważ funkcja Secure Boot znacznie utrudnia cyberprzestępcom instalację trwałego złośliwego oprogramowania i sterowników rozruchowych, błędy UEFI są coraz częściej wykorzystywane do tworzenia złośliwego oprogramowania zwanego bootkitem. Bootkit ładuje się bardzo wcześnie w procesie uruchamiania UEFI, dając złośliwym programom niski poziom dostępu do operacji i bardzo utrudniając ich wykrycie. Przykłady takich szkodników to BlackLotus, CosmicStrand i MosaicAggressor UEFI.

Mała płyta główna Gigabyte dostaje właśnie nowe APU.

Czytaj też: Zaktualizuj Edge jak najszybciej. W przeglądarce odkryto aż siedem poważnych podatności!

Eksperci z Eclypsium twierdzą, że znaleziony błąd polega na przepełnieniu bufora w podsystemie trybu zarządzania systemem (SMM) firmware Phoenix SecureCore, umożliwiając atakującym potencjalne nadpisanie sąsiedniej pamięci. Jeśli pamięć została nadpisana poprawnymi danymi, osoba atakująca może potencjalnie podnieść uprawnienia i uzyskać możliwość wykonania kodu w oprogramowaniu sprzętowym w celu zainstalowania złośliwego oprogramowania typu bootkit.

Luka leży w kodzie UEFI obsługującym konfigurację modułu TPM. Po wykryciu błędu firma Eclypsium skoordynowała z firmami Phoenix i Lenovo ujawnienie informacji w celu usunięcia usterek. Już w maju Lenovo rozpoczęło dystrybucję nowego firmware, aby usunąć luki w ponad 150 różnych modelach. Dlatego jeśli pojawi Ci się powiadomienie o nowym firmware, nie wahaj się, tylko od razu je instaluj.

UdostępnijTwitter