![数字供应链安全缺口----Phoenix SecureCore UEFI 固件漏洞可能会影响100多个PC型号]( "数字供应链安全缺口----Phoenix SecureCore UEFI 固件漏洞可能会影响100多个PC型号")
随着计算机硬件和软件的发展,UEFI逐渐取代了传统的BIOS引导启动,成为新一代计算机系统的标准固件接口。其优势在于更快的启动速度、更大的容量支持、更强的扩展性和更高的安全性。
作为BIOS的替代品,UEFI是控制设备如何启动的重要系统固件。UEFI还通过系统管理模式(SMM)等系统提供优先于操作系统的设备持续运行时管理。因此,UEFI是大多数系统上最先运行且最具特权的代码。这些相同的特性使UEFI成为攻击者的主要目标。
Phoenix SecureCore UEF 固件漏洞
最近根据Eclypsium的最新研究,多个英特尔处理器和数百种计算机型号中存在Phoenix SecureCore UEF 固件的漏洞。
该研究涉及一个高度严重的漏洞,被跟踪为CVE-2024-0762,并被研究人员称为“UEFI canhazbufferoverflow”。根据最先发现该漏洞的Eclypsium的说法,CVE-2024-0762被分配了7.5的CVSS分数,并且“涉及可信协议(TPM)配置中的一个不安全变量,可能导致缓冲区溢出和潜在的恶意代码执行。"
Eclypisum警告说,UEFI漏洞已成为攻击者的主要目标,因为固件控制着系统的启动过程。该安全厂商列举了最近的 UEFI 攻击,如 BlackLotus 和 MosaicRegressor。
该漏洞上个月首次披露时,Phoenix发布了相关预警,并早在4月份就发布了缓解措施。该公司当时敦促客户更新到最新的固件,其中包括上述缓解措施。Eclypsium的博客文章提供了有关该漏洞的其他上下文和技术细节。Phoenix后来表示,多个英特尔处理器系列受到影响,包括Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake,Tiger Lake。
Eclypsium公司解释说,该漏洞之所以严重,是因为像UEFI这样被下游厂商授权使用的产品中存在的高严重性漏洞,会给整个供应链带来被利用的可能。这家安全厂商指出,Phoenix SecureCore UEFI 被用于数百种不同的 PC 产品。
UEFI 固件开发是复杂而专业要求高,原始设备制造商通常会从第三方固件供应商那里采购固件。在这种情况下,设备厂商从 Phoenix Technologies 获得了固件授权,而 Phoenix Technologies 是一家备受推崇的老牌固件供应商。然而,这也意味着上游供应链供应商的任何漏洞都有可能影响到许多不同的产品和供应商。在这种情况下,任何使用CVE中提到的Phoenix固件版本的制造商都可能受到影响。尽管Eclypsium的威胁研究和情报主管沃菲尔德指出 “利用的可能性较小”, 但这类固件漏洞带来的数字供应链风险值的关注。
UEFI固件的重要性:UEFI(统一可扩展固件接口)作为现代BIOS的替代品,在设备的启动和管理中扮演着核心角色。由于其在系统启动时的特权地位,UEFI固件成为了攻击者热衷的目标。
供应链依赖:UEFI固件的开发通常依赖于第三方固件供应商。这意味着一个上游供应链中的漏洞可能影响到多个产品和制造商。在文档中提到的案例中,Phoenix Technologies作为供应商,其固件中的漏洞影响了使用Intel处理器的众多OEM和ODM。
漏洞影响:CVE-2024-0762漏洞允许本地攻击者在UEFI固件运行时提升权限并执行恶意代码。这种类型的漏洞类似于固件后门,它给攻击者提供了在设备中的持续存在能力,并可能绕过操作系统和软件层的高级安全措施。
增强供应链可见性:组织应了解并监控其数字供应链的每个部分,特别是那些涉及底层系统和固件组件的部分。
定期更新和补丁:确保所有固件和操作系统组件都已更新到最新版本,并应用了所有安全补丁。
使用专业工具:利用商业工具进行持续、全面和自动的设备与组件评估,以便及时识别和缓解潜在的安全风险。
安全意识培训:加强员工的安全意识培训,特别是关于数字供应链风险的认识和应对措施。
总之,数字供应链安全缺口需要组织采取全面和持续的综合安全措施来加以应对。
原文始发于微信公众号(CyberOk):数字供应链安全缺口----Phoenix SecureCore UEFI 固件漏洞可能会影响100多个PC型号
评论