CVE-2024-0762（ CVSS 7.5）高危 UEFI 漏洞影响英特尔 CPU（暂无 PoC)

最近，Phoenix Technologies 的 SecureCore UEFI 固件中发现了一个高危漏洞，引起了整个网络安全领域的担忧。该漏洞的编号为CVE-2024-0762，又名“UEFIcanhazbufferoverflow”，可能会影响数百种使用英特尔处理器的 PC 和服务器型号。

发现该漏洞的网络安全公司 Eclypsium报告称，该漏洞“允许本地攻击者提升权限并在运行时在 UEFI 固件中执行代码”。该漏洞的 CVSS 评分为 7.5，对受影响的系统构成重大威胁。

 Eclypsium报告

https://eclypsium.com/blog/ueficanhazbufferoverflow-widespread-impact-from-vulnerability-in-popular-pc-and-server-firmware/

该漏洞源于可信平台模块 (TPM) 配置中的一个不安全变量。Eclypsium 的研究解释道：“两次调用 GetVariable 时都使用了‘TCG2_CONFIGURATION’参数和相同的 DataSize，中间没有进行充分检查。如果攻击者可以在系统运行时修改‘TCG2_CONFIGURATION’UEFI 变量的值，他们可以将其设置为一个足够长的值，这样第一次调用 GetVariable 时就会返回 EFI_BUFFER_TOO_SMALL，并将 data_size 设置为 UEFI 变量的长度。第二次调用会成功并溢出缓冲区，导致堆栈缓冲区溢出。”

Critical Start 网络威胁研究高级经理 Callie Guenther 强调了该漏洞的广泛影响，他表示：“这包括使用英特尔酷睿处理器的多家 OEM 设备，例如 AlderLake、CoffeeLake、CometLake、IceLake、JasperLake、KabyLake、MeteorLake、RaptorLake、RocketLake 和 TigerLake。由于 Phoenix SecureCore UEFI 固件的广泛使用，该漏洞的影响范围很广，可能会影响全球大量产品。”

该漏洞影响适用于各种英特尔平台的 Phoenix SecureCore 的多个版本，范围从 Kaby Lake 到 Meteor Lake。例如，适用于英特尔 Kaby Lake 的 Phoenix SecureCore 从 4.0.1.1 到 4.0.1.997 版本受到影响，而对于英特尔 Meteor Lake，版本 4.5.1.1 到 4.5.1.14 均易受攻击。

Viakoo Labs 副总裁 John Gallagher 介绍了该漏洞的具体情况，他表示：“该漏洞只存在于一家 BIOS 提供商 Phoenix（不是 AMI 或 Insyde，而是其他主要 BIOS 提供商）；但它广泛影响基于英特尔 CPU 的系统。”他补充道：“它与 LogoFail 类似，都是在系统启动的最早阶段发起攻击，并提供对系统所有部分的访问权限，但在攻击的规模和成熟度方面有所不同。”

该漏洞的发现凸显了 UEFI 固件在系统安全中的关键作用。Eclypsium 的报告指出：“这种低级利用是固件后门（例如 BlackLotus）的典型特征，这种后门在野外越来越常见。此类植入使攻击者能够在设备中持续驻留，并且通常能够逃避在操作系统和软件层中运行的更高级别的安全措施。”

缓解措施

为了缓解此漏洞的影响，受影响的用户和组织应在设备制造商发布固件更新后立即应用这些更新。联想已经发布了相关的 BIOS 更新，预计其他供应商也会效仿。

这一漏洞的发现也凸显了人工智能和机器学习在网络安全领域日益重要的作用。Guenther 表示：“人工智能擅长通过高效分析大量二进制数据来识别新漏洞。对于修补，人工智能可以通过推荐代码更改和自动化测试流程来提供帮助，以确保补丁不会引入新问题。”

随着网络安全形势的不断发展，像 UEFIcanhazbufferoverflow 这样的漏洞提醒我们，在保护我们的数字基础设施时，需要不断保持警惕、采用先进的检测方法并及时修补。

原文始发于微信公众号（独眼情报）：CVE-2024-0762（ CVSS 7.5）高危 UEFI 漏洞影响英特尔 CPU（暂无 PoC)