凤凰安全核心UEFI固件的UEFICANHAZBUFFEROVERFLOW缺陷可能影响数百个PC和服务器型号

admin 2024年6月24日10:51:00评论6 views字数 1077阅读3分35秒阅读模式

凤凰安全核心UEFI固件的UEFICANHAZBUFFEROVERFLOW缺陷可能影响数百个PC和服务器型号

固件安全公司 Eclypsium 在 Phoenix SecureCore UEFI 固件中发现了一个漏洞,跟踪为 CVE-2024-0762(CVSS 为 7.5)。

该问题称为 UEFIcanhazbufferoverflow,可能会影响数百种使用英特尔酷睿台式机和移动处理器的 PC 和服务器型号。

该漏洞源于受信任的平台模块 (TPM) 配置中的不安全变量。成功利用此漏洞可导致缓冲区溢出和潜在的恶意代码执行。该问题的根源在于处理 TPM 配置的 UEFI 代码,如果基础代码遭到泄露,则 TPM 等安全芯片的存在变得无关紧要。

专家们最初在联想 ThinkPad X1 Carbon 第 7 代和 X1 Yoga 第 4 代上发现了该漏洞,两者都使用了最新的联想 BIOS 更新。

Phoenix Technologies 证实了该问题,并补充说该漏洞会影响其在 Intel 处理器系列上运行的多个版本的 SecureCore 固件,包括 AlderLake、CoffeeLake、CometLake、IceLake、JasperLake、KabyLake、MeteorLake、RaptorLake、RocketLake 和 TigerLake。

“这些是多代英特尔酷睿移动和台式机处理器的英特尔代号。鉴于这些英特尔酷睿处理器被广泛的OEM和ODM使用,同样的漏洞可能会影响广泛的供应商,并可能影响数百种也使用Phoenix SecureCore UEFI固件的PC产品。“被利用的可能性取决于分配给TCG2_CONFIGURATION变量的配置和权限,每个平台都可能不同。”

此类缺陷可被利用来建立固件后门,例如 BlackLotus。专家警告说,越来越多的植入物利用这样的缺陷来保持持久性,从而逃避更高级别的安全措施。这家安全公司补充说,对运行时代码的操纵会使攻击更难通过各种固件测量来检测。

“这个漏洞体现了IT基础设施供应链事件的两个特征——高影响和广泛的影响。UEFI固件是现代设备上一些最高价值的代码,任何对该代码的破坏都可能使攻击者完全控制和持久化设备。“而且,由于易受攻击的代码来自一个主要的供应链合作伙伴,该合作伙伴将代码授权给多个OEM供应商,因此该问题可能会影响许多不同的产品。

Eclypsium与Phoenix Technologies和联想PSIRT协调披露了该问题。Lenovo 在多供应商 BIOS 安全漏洞(2024 年 5 月)– Lenovo Support US 发布了相关 BIOS 更新。

原文始发于微信公众号(黑猫安全):凤凰安全核心UEFI固件的UEFICANHAZBUFFEROVERFLOW缺陷可能影响数百个PC和服务器型号

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月24日10:51:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   凤凰安全核心UEFI固件的UEFICANHAZBUFFEROVERFLOW缺陷可能影响数百个PC和服务器型号https://cn-sec.com/archives/2877627.html

发表评论

匿名网友 填写信息