Нещодавно виявлена вразливість у мікропрограмі Phoenix SecureCore UEFI, яка відстежується як CVE-2024-0762, впливає на пристрої, на яких працює багато процесорів Intel.
Як повідомляє BleepingComputer, Lenovo вже випускає нові оновлення мікропрограми для усунення недоліку.
Вразливість під назвою UEFICANHAZBUFFEROVERFLOW є помилкою переповнення буфера в конфігурації Trusted Platform Module (TPM) вбудованого програмного забезпечення, яку можна використати для виконання коду на вразливих пристроях.
Недолік був виявлений Eclypsium на пристроях Lenovo ThinkPad X1 Carbon 7-го покоління та X1 Yoga 4-го покоління.
Як пізніше підтвердили у Phoenix, вразливість впливає на мікропрограмне забезпечення SecureCore для Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, а також на процесори Intel Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake і Tiger Lake.
Через велику кількість процесорів Intel, які використовують цю мікропрограму, вразливість може вплинути на сотні моделей від Lenovo, Dell, Acer та HP.
Прошивка UEFI вважається більш безпечною, оскільки включає Secure Boot, який підтримується всіма сучасними операційними системами, зокрема Windows, macOS і Linux. Вона завантажується лише за допомогою перевірених драйверів і програмного забезпечення, блокуючи процес завантаження, якщо він виявляє шкідливе програмне забезпечення.
Оскільки Secure Boot значно ускладнює встановлення зловмисних програм і драйверів для зловмисників, помилки UEFI дедалі частіше націлені на створення шкідливих програм, які називаються буткітами.
Буткіти – це зловмисне програмне забезпечення, яке завантажується на дуже ранніх стадіях процесу завантаження UEFI, надаючи зловмисним програмам низькорівневий доступ до операцій та ускладнюючи їх виявлення. Наприклад, це зловмисне програмне забезпечення UEFI BlackLotus, CosmicStrand і MosaicAggressor.
В Eclypsium кажуть, що виявлена помилка полягає у переповненні буфера в підсистемі System Management Mode (SMM) мікропрограми Phoenix SecureCore. Це дає змогу зловмисникам потенційно перезаписувати суміжну пам’ять.
Якщо пам’ять було перезаписано правильними даними, зловмисник потенційно може підвищити привілеї й отримати можливості виконання коду у мікропрограмі для встановлення зловмисного програмного забезпечення із завантажувачем.
«Проблема пов’язана із небезпечною змінною в конфігурації Trusted Platform Module, яка може призвести до переповнення буфера та потенційного виконання шкідливого коду. Щоб було зрозуміло, ця вразливість полягає в конфігурації TPM для обробки коду UEFI. Тобто неважливо, чи є у вас мікросхема безпеки, як TPM, якщо базовий код має недоліки», – попередили фахівці Eclypsium.
Після виявлення помилки Eclypsium скоординувала розкриття інформації із Phoenix і Lenovo, щоб виправити недоліки.
У квітні компанія Phoenix випустила попередження, а вже у травні Lenovo почала випускати нове мікропрограмне забезпечення для усунення вразливостей у понад 150 різних моделях.
Читайте також на ProIT: Хакери UNC3886 використовують руткіти Linux, щоб ховатись у віртуальних машинах VMware ESXi.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!