.
Uma nova vulnerabilidade no firmware UEFI está ameaçando a segurança de uma ampla gama de famílias de chips Intel de forma semelhante ao BlackLotus e outros semelhantes.
A loja de segurança Eclypsium acaba de publicar sua conta CVE-2024-0762 (CVSSv3: 7.5) após divulgá-la à Phoenix Technologies, cujo firmware UEFI é afetado. Phoenix Technologies fornece firmware de dispositivo UEFI/BIOS para laptops, tablets, desktops e servidores Windows.
Os pesquisadores encontraram originalmente o bug de buffer overflow nos dispositivos ThinkPad X1 Carbon 7ª geração e X1 Yoga 4ª geração da Lenovo e logo descobriram que a mesma falha afetou várias famílias de chips Intel desde Kaby Lake em 2017.
Selecione chips nas seguintes linhas são potencialmente afetados:
- Lago Amieiro
- Lago do Café
- Lago Cometa
- Lago de Gelo
- Lago Jaspe
- Lago Kaby
- Lago Meteoro
- Lago Raptor
- Lago Foguete
- Lago Tigre
“Dado que esses processadores Intel Core são usados por uma ampla gama de OEMs e ODMs, a mesma vulnerabilidade pode afetar potencialmente uma ampla gama de fornecedores e potencialmente centenas de produtos de PC que também usam o firmware Phoenix SecureCore UEFI”, diz Eclypsium em seu post. .
A vulnerabilidade está localizada na configuração do Trusted Platform Module (TPM) e gira em torno de uma variável insegura (TCG2_CONFIGURATION), cujo abuso pode levar a um estouro de buffer, escalonamento de privilégios e execução de código.
A variável é configurada de forma diferente em cada plataforma. Essa configuração e as permissões atribuídas a ela determinam a possibilidade e o grau em que a vulnerabilidade pode ser explorada.
Dado que CVE-2024-0762 está localizado no código que trata da configuração do TPM, simplesmente ter um TPM em um dispositivo, que é projetado para aumentar sua segurança e evitar a execução de processos de inicialização não confiáveis, não será suficiente para evitar explorações bem-sucedidas.
A Lenovo já emitiu patches para a vulnerabilidade e uma rápida olhada em seu comunicado mostra que uma ampla variedade de notebooks e ThinkPads foram afetados. Proprietários de Lenovo, dêem uma olhada e consertem, se necessário.
Ao divulgar a vulnerabilidade no mês passado, a Phoenix Technologies disse que as mitigações foram disponibilizadas já em abril.
“A Phoenix Technologies recomenda fortemente que os clientes atualizem seu firmware para a versão mais recente e entrem em contato com o fornecedor de hardware o mais rápido possível para evitar qualquer exploração potencial desta falha”, afirmou.
O registro pediu uma declaração à Intel, mas ela não respondeu imediatamente.
Semelhante às grandes ameaças do passado
As explorações de UEFI sempre tendem a levantar as sobrancelhas da indústria, pois muitas vezes permitem backdoors silenciosos nos níveis mais baixos e privilegiados de um sistema e as explorações são notoriamente difíceis de detectar.
Backdoors do passado, como BlackLotus, CosmicStrand e MosaicRegressor, são exemplos anteriores de falhas de UEFI que fizeram os profissionais de segurança suarem. Essa falha, que o Eclypsium apelidou de “UEFICanHazBufferOverflow” (horrível e não será repetida por nós novamente), está sendo considerada uma descoberta de significado semelhante.
Eclypsium tomou a sábia decisão de não liberar código de prova de conceito, mas explicou que os chapéus negros emergentes poderiam conseguir uma exploração bem-sucedida se falsificassem as chamadas para o serviço GetVariable UEFI da maneira certa.
Dizia: “Existem duas chamadas para GetVariable com o argumento ‘TCG2_CONFIGURATION’ e o mesmo DataSize, sem verificações adequadas entre elas.
“Se um invasor puder modificar o valor da variável UEFI ‘TCG2_CONFIGURATION’ no tempo de execução do sistema, ele poderá defini-lo com um valor longo o suficiente para que a primeira chamada para GetVariable retorne EFI_BUFFER_TOO_SMALL, e o data_size seja definido para o comprimento do UEFI variável. A segunda chamada seria bem-sucedida e transbordaria o buffer, levando a um estouro de buffer de pilha.” ®
.
