Bezpečnostní výzkumníci společnosti Eclypsium zveřejnili podrobnosti o konečně opravené zranitelnosti ve firmwaru UEFI, kterou je dotčeno několik rodin procesorů Intel Core jak pro stolní PC, tak i laptopy.

Zranitelnost, nazvaná „UEFIcanhazbufferoverflow“ a katalogizovaná pod označením  CVE-2024-0762 s klasifikací 7,5 podle standardu CVSS, se projevuje přetečením vyrovnávací paměti. To způsobí použití nebezpečné proměnné v konfiguraci modulu TPM (Trusted Platform Module). To může v konečném důsledku vést ke spuštění škodlivého kódu.

Jinými slovy, nezáleží na tom, zda máte ve svém zařízení bezpečnostní čip TPM. Pokud je chybný základní kód pro jeho konfiguraci, jakým je v tomto případě UEFI, kontrolní mechanismy TPM jsou nefunkční.

Zranitelnost UEFI útočníkům umožňuje zvýšit oprávnění a obejít bezpečnostní opatření

Firma Eclypsium, která se zabývá otázkami kybernetické bezpečnosti především v oblasti dodavatelského řetězce, ve své zprávě uvedla: „Zranitelnost umožňuje lokálnímu útočníkovi zvýšit oprávnění ke spuštění kódu v průběhu zavádění firmwaru UEFI“.

Tento typ zneužití na velmi nízké úrovni je typický pro zpřístupnění zadních vrátek ve firmwaru, který je stále častěji pozorován v praxi. Zranitelnosti podobného charakteru útočníkům umožňují trvalou přítomnost v napadeném zařízení a často i schopnost obejít bezpečnostní opatření vyšší úrovně, běžících ve vrstvách operačního systému či antivirového softwaru.

Zranitelnost se týká zařízení s firmwarem Phoenix SecureCore, která běží na vybraných rodinách procesorů Intel: Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake a Tiger Lake.

UEFI, což je nástupce systému BIOS, odkazuje na firmware základní desky počítače, který se spouští pro inicializaci hardwarových komponent a zavedení operačního systému.

Skutečnost, že UEFI je prvním kódem, který je spouštěn s nejvyššími právy, z něj udělala lukrativní cíl pro kybernetické zločince. Ti se snaží do něj dostat různé typy škodlivého kódu,  které mohou obejít bezpečnostní mechanismy a zachovat si stálou přítomnost, aniž by byly odhaleny.

Zranitelnosti, objevené ve firmwaru UEFI, mohou představovat vážné riziko i pro dodavatelský řetězec, protože mohou ovlivnit mnoho různých produktů a výrobců najednou.

Lenovo a Phoenix společně řeší zranitelnosti v firmwaru na více než 150 modelech počítačů

Po odhalení chyby zástupci společnosti Eclypsium koordinovali další aktivity s výrobci Phoenix a Lenovo.

V dubnu Phoenix vydal doporučení a v květnu Lenovo zahájil uvolňování nového firmwaru, který řeší zranitelnosti ve více než 150 různých modelech počítačů.

Je ale důležité poznamenat, že ne všechny mají v tuto chvíli firmware k dispozici. U mnoha z nich je to plánováno až na pozdější období tohoto roku.

Zdroj: Bleeping Computer, The Hacker News
 

Bezpečnostní výzkumníci společnosti Eclypsium zveřejnili podrobnosti o konečně opravené zranitelnosti ve firmwaru UEFI, kterou je dotčeno několik rodin procesorů Intel Core jak pro stolní PC, tak i laptopy.

Zranitelnost, nazvaná „UEFIcanhazbufferoverflow“ a katalogizovaná pod označením  CVE-2024-0762 s klasifikací 7,5 podle standardu CVSS, se projevuje přetečením vyrovnávací paměti. To způsobí použití nebezpečné proměnné v konfiguraci modulu TPM (Trusted Platform Module). To může v konečném důsledku vést ke spuštění škodlivého kódu.

Jinými slovy, nezáleží na tom, zda máte ve svém zařízení bezpečnostní čip TPM. Pokud je chybný základní kód pro jeho konfiguraci, jakým je v tomto případě UEFI, kontrolní mechanismy TPM jsou nefunkční.

Zranitelnost UEFI útočníkům umožňuje zvýšit oprávnění a obejít bezpečnostní opatření

Firma Eclypsium, která se zabývá otázkami kybernetické bezpečnosti především v oblasti dodavatelského řetězce, ve své zprávě uvedla: „Zranitelnost umožňuje lokálnímu útočníkovi zvýšit oprávnění ke spuštění kódu v průběhu zavádění firmwaru UEFI“.

Tento typ zneužití na velmi nízké úrovni je typický pro zpřístupnění zadních vrátek ve firmwaru, který je stále častěji pozorován v praxi. Zranitelnosti podobného charakteru útočníkům umožňují trvalou přítomnost v napadeném zařízení a často i schopnost obejít bezpečnostní opatření vyšší úrovně, běžících ve vrstvách operačního systému či antivirového softwaru.

Zranitelnost se týká zařízení s firmwarem Phoenix SecureCore, která běží na vybraných rodinách procesorů Intel: Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake a Tiger Lake.

UEFI, což je nástupce systému BIOS, odkazuje na firmware základní desky počítače, který se spouští pro inicializaci hardwarových komponent a zavedení operačního systému.

Skutečnost, že UEFI je prvním kódem, který je spouštěn s nejvyššími právy, z něj udělala lukrativní cíl pro kybernetické zločince. Ti se snaží do něj dostat různé typy škodlivého kódu,  které mohou obejít bezpečnostní mechanismy a zachovat si stálou přítomnost, aniž by byly odhaleny.

Zranitelnosti, objevené ve firmwaru UEFI, mohou představovat vážné riziko i pro dodavatelský řetězec, protože mohou ovlivnit mnoho různých produktů a výrobců najednou.

Lenovo a Phoenix společně řeší zranitelnosti v firmwaru na více než 150 modelech počítačů

Po odhalení chyby zástupci společnosti Eclypsium koordinovali další aktivity s výrobci Phoenix a Lenovo.

V dubnu Phoenix vydal doporučení a v květnu Lenovo zahájil uvolňování nového firmwaru, který řeší zranitelnosti ve více než 150 různých modelech počítačů.

Je ale důležité poznamenat, že ne všechny mají v tuto chvíli firmware k dispozici. U mnoha z nich je to plánováno až na pozdější období tohoto roku.

Zdroj: Bleeping Computer, The Hacker News