Onderzoekers ontdekken een UEFI-kwetsbaarheid die meerdere Intel-CPU’s treft

Cybersecurity-onderzoekers hebben details bekendgemaakt van een inmiddels gepatcht beveiligingslek in de Phoenix SecureCore UEFI-firmware die gevolgen heeft voor meerdere families van Intel Core desktop- en mobiele processors.

Bijgehouden als CVE-2024-0762 (CVSS-score: 7,5) is de kwetsbaarheid “UEFIcanhazbufferoverflow” beschreven als een geval van een bufferoverflow die voortkomt uit het gebruik van een onveilige variabele in de Trusted Platform Module (TPM)-configuratie die zou kunnen resulteren in de uitvoering van kwaadaardige code.

“Door de kwetsbaarheid kan een lokale aanvaller bevoegdheden escaleren en code-uitvoering verkrijgen binnen de UEFI-firmware tijdens runtime”, zegt supply chain-beveiligingsbedrijf Eclypsium in een rapport gedeeld met The Hacker News.

“Dit soort misbruik op laag niveau is typerend voor firmware-backdoors (bijvoorbeeld BlackLotus) die steeds vaker in het wild worden waargenomen. Dergelijke implantaten geven aanvallers voortdurend doorzettingsvermogen binnen een apparaat en vaak de mogelijkheid om beveiligingsmaatregelen op een hoger niveau te omzeilen. besturingssysteem en softwarelagen.”

Na verantwoorde openbaarmaking werd het beveiligingslek in april 2024 door Phoenix Technologies verholpen. PC-maker Lenovo heeft sinds vorige maand ook updates voor het lek uitgebracht.

“Deze kwetsbaarheid treft apparaten die Phoenix SecureCore-firmware gebruiken en draaien op geselecteerde Intel-processorfamilies, waaronder AlderLake, CoffeeLake, CometLake, IceLake, JasperLake, KabyLake, MeteorLake, RaptorLake, RocketLake en TigerLake”, aldus de firmware-ontwikkelaar.

UEFI, een opvolger van BIOS, verwijst naar moederbordfirmware die tijdens het opstarten wordt gebruikt om de hardwarecomponenten te initialiseren en het besturingssysteem te laden via de opstartmanager.

Het feit dat UEFI de eerste code is die met de hoogste privileges wordt uitgevoerd, heeft het tot een lucratief doelwit gemaakt voor bedreigingsactoren die bootkits en firmware-implantaten willen inzetten die beveiligingsmechanismen kunnen ondermijnen en de persistentie kunnen handhaven zonder te worden opgemerkt.

Dit betekent ook dat kwetsbaarheden die in de UEFI-firmware worden ontdekt een ernstig risico voor de toeleveringsketen kunnen vormen, omdat ze veel verschillende producten en leveranciers tegelijk kunnen beïnvloeden.

“UEFI-firmware behoort tot de meest waardevolle code op moderne apparaten, en elk compromis van die code kan aanvallers volledige controle en volharding op het apparaat geven”, aldus Eclypsium.

De ontwikkeling komt bijna een maand nadat het bedrijf een soortgelijke ongepatchte bufferoverflow-fout in HP’s implementatie van UEFI heeft onthuld die gevolgen heeft voor de HP ProBook 11 EE G1, een apparaat dat vanaf september 2020 de end-of-life (EoL)-status heeft bereikt.

Het volgt ook op de onthulling van een softwareaanval genaamd TPM GPIO Reset die door aanvallers zou kunnen worden uitgebuit om toegang te krijgen tot geheimen die op schijf zijn opgeslagen door andere besturingssystemen of om controles te ondermijnen die worden beschermd door de TPM, zoals schijfversleuteling of opstartbeveiligingen.

Thijs Van der Does