Investigadores de ciberseguridad han revelado detalles de una falla de seguridad ahora parcheada en Phoenix SecureCore Firmware UEFI que afecta a múltiples familias de procesadores Intel Core de escritorio y móviles.
Seguimiento como CVE-2024-0762 (Puntuación CVSS: 7,5), la vulnerabilidad «UEFIcanhazbufferoverflow» se ha descrito como un caso de desbordamiento del búfer derivado del uso de una variable insegura en la configuración del Módulo de plataforma segura (TPM) que podría resultar en la ejecución de código malicioso.
«La vulnerabilidad permite a un atacante local escalar privilegios y obtener la ejecución de código dentro del firmware UEFI durante el tiempo de ejecución», dijo la firma de seguridad de la cadena de suministro Eclypsium. dicho en un informe compartido con The Hacker News.
«Este tipo de explotación de bajo nivel es típico de puertas traseras de firmware (por ejemplo, BlackLotus) que se observan cada vez más en la naturaleza. Dichos implantes brindan a los atacantes persistencia continua dentro de un dispositivo y, a menudo, la capacidad de evadir medidas de seguridad de nivel superior que se ejecutan en el sistema operativo y capas de software.»
Tras una divulgación responsable, Phoenix Technologies solucionó la vulnerabilidad en abril de 2024. El fabricante de PC Lenovo también actualizaciones publicadas por el defecto del mes pasado.
«Esta vulnerabilidad afecta a los dispositivos que utilizan el firmware Phoenix SecureCore que se ejecuta en familias de procesadores Intel seleccionadas, incluidas AlderLake, CoffeeLake, CometLake, IceLake, JasperLake, KabyLake, MeteorLake, RaptorLake, RocketLake y TigerLake», dijo el desarrollador del firmware. dicho.
UEFIun sucesor de BIOS, se refiere a firmware de la placa base se utiliza durante el inicio para inicializar los componentes de hardware y cargar el sistema operativo a través del administrador de arranque.
El hecho de que UEFI sea el primer código que se ejecuta con los privilegios más altos lo ha convertido en un objetivo lucrativo para los actores de amenazas que buscan implementar kits de arranque e implantes de firmware que puedan subvertir los mecanismos de seguridad y mantener la persistencia sin ser detectados.
Esto también significa que las vulnerabilidades descubiertas en el firmware UEFI pueden representar un riesgo grave para la cadena de suministro, ya que pueden afectar a muchos productos y proveedores diferentes a la vez.
«El firmware UEFI es uno de los códigos de mayor valor en los dispositivos modernos, y cualquier compromiso de ese código puede dar a los atacantes control total y persistencia en el dispositivo», dijo Eclypsium.
El desarrollo se produce casi un mes después de que la empresa revelado una falla similar de desbordamiento de búfer sin parchear en la implementación de UEFI de HP que afecta al HP ProBook 11 EE G1, un dispositivo que alcanzó el estado de fin de vida útil (EoL) en septiembre de 2020.
También sigue a la divulgación de una ataque de software llamado TPM GPIO Restablecimiento que los atacantes podrían aprovechar para acceder a secretos almacenados en el disco por otros sistemas operativos o socavar los controles protegidos por el TPM, como el cifrado del disco o las protecciones de arranque.