Des chercheurs en cybersécurité ont divulgué les détails d’une faille de sécurité désormais corrigée dans Phoenix SecureCore Micrologiciel UEFI qui affecte plusieurs familles de processeurs Intel Core pour ordinateurs de bureau et mobiles.
Suivi comme CVE-2024-0762 (score CVSS : 7,5), la vulnérabilité « UEFIcanhazbufferoverflow » a été décrite comme un cas de débordement de tampon provenant de l’utilisation d’une variable non sécurisée dans la configuration du Trusted Platform Module (TPM) pouvant entraîner l’exécution de code malveillant.
« La vulnérabilité permet à un attaquant local d’élever ses privilèges et d’obtenir l’exécution de code dans le micrologiciel UEFI pendant l’exécution », a déclaré Eclypsium, société de sécurité de la chaîne d’approvisionnement. dit dans un rapport partagé avec The Hacker News.
« Ce type d’exploitation de bas niveau est typique des portes dérobées de micrologiciels (par exemple, BlackLotus) qui sont de plus en plus observées dans la nature. De tels implants donnent aux attaquants une persistance continue au sein d’un appareil et, souvent, la possibilité d’échapper aux mesures de sécurité de niveau supérieur exécutées dans l’appareil. couches du système d’exploitation et des logiciels.
Suite à une divulgation responsable, la vulnérabilité a été corrigée par Phoenix Technologies en avril 2024. Le fabricant de PC Lenovo a également mises à jour publiées pour la faille du mois dernier.
« Cette vulnérabilité affecte les appareils utilisant le micrologiciel Phoenix SecureCore fonctionnant sur certaines familles de processeurs Intel, notamment AlderLake, CoffeeLake, CometLake, IceLake, JasperLake, KabyLake, MeteorLake, RaptorLake, RocketLake et TigerLake », le développeur du micrologiciel. dit.
UEFIsuccesseur du BIOS, fait référence à firmware de la carte mère utilisé lors du démarrage pour initialiser les composants matériels et charger le système d’exploitation via le gestionnaire de démarrage.
Le fait que l’UEFI soit le premier code exécuté avec les privilèges les plus élevés en a fait une cible lucrative pour les acteurs malveillants cherchant à déployer des kits de démarrage et des implants de micrologiciels capables de contourner les mécanismes de sécurité et de maintenir la persistance sans être détectés.
Cela signifie également que les vulnérabilités découvertes dans le micrologiciel UEFI peuvent présenter un risque grave pour la chaîne d’approvisionnement, car elles peuvent affecter simultanément de nombreux produits et fournisseurs différents.
« Le firmware UEFI est l’un des codes les plus précieux sur les appareils modernes, et toute compromission de ce code peut donner aux attaquants un contrôle total et une persistance sur l’appareil », a déclaré Eclypsium.
Le développement intervient près d’un mois après que l’entreprise divulgué une faille similaire de dépassement de tampon non corrigée dans la mise en œuvre par HP de l’UEFI qui affecte le HP ProBook 11 EE G1, un appareil qui a atteint le statut de fin de vie (EoL) en septembre 2020.
Il fait également suite à la divulgation d’un attaque logicielle appelé TPM GPIO Réinitialisation qui pourrait être exploitée par des attaquants pour accéder aux secrets stockés sur le disque par d’autres systèmes d’exploitation ou saper les contrôles protégés par le TPM tels que le chiffrement du disque ou les protections de démarrage.