凤凰安全核心UEFI固件的UEFICANHAZBUFFEROVERFLOW缺陷可能影响数百个PC和服务器型号

固件安全公司 Eclypsium 在 Phoenix SecureCore UEFI 固件中发现了一个漏洞，跟踪为 CVE-2024-0762（CVSS 为 7.5）。

该问题称为 UEFIcanhazbufferoverflow，可能会影响数百种使用英特尔酷睿台式机和移动处理器的 PC 和服务器型号。

该漏洞源于受信任的平台模块 （TPM） 配置中的不安全变量。成功利用此漏洞可导致缓冲区溢出和潜在的恶意代码执行。该问题的根源在于处理 TPM 配置的 UEFI 代码，如果基础代码遭到泄露，则 TPM 等安全芯片的存在变得无关紧要。

专家们最初在联想 ThinkPad X1 Carbon 第 7 代和 X1 Yoga 第 4 代上发现了该漏洞，两者都使用了最新的联想 BIOS 更新。

Phoenix Technologies 证实了该问题，并补充说该漏洞会影响其在 Intel 处理器系列上运行的多个版本的 SecureCore 固件，包括 AlderLake、CoffeeLake、CometLake、IceLake、JasperLake、KabyLake、MeteorLake、RaptorLake、RocketLake 和 TigerLake。

“这些是多代英特尔酷睿移动和台式机处理器的英特尔代号。鉴于这些英特尔酷睿处理器被广泛的OEM和ODM使用，同样的漏洞可能会影响广泛的供应商，并可能影响数百种也使用Phoenix SecureCore UEFI固件的PC产品。“被利用的可能性取决于分配给TCG2_CONFIGURATION变量的配置和权限，每个平台都可能不同。”

此类缺陷可被利用来建立固件后门，例如 BlackLotus。专家警告说，越来越多的植入物利用这样的缺陷来保持持久性，从而逃避更高级别的安全措施。这家安全公司补充说，对运行时代码的操纵会使攻击更难通过各种固件测量来检测。

“这个漏洞体现了IT基础设施供应链事件的两个特征——高影响和广泛的影响。UEFI固件是现代设备上一些最高价值的代码，任何对该代码的破坏都可能使攻击者完全控制和持久化设备。“而且，由于易受攻击的代码来自一个主要的供应链合作伙伴，该合作伙伴将代码授权给多个OEM供应商，因此该问题可能会影响许多不同的产品。

Eclypsium与Phoenix Technologies和联想PSIRT协调披露了该问题。Lenovo 在多供应商 BIOS 安全漏洞（2024 年 5 月）– Lenovo Support US 发布了相关 BIOS 更新。

原文始发于微信公众号（黑猫安全）：凤凰安全核心UEFI固件的UEFICANHAZBUFFEROVERFLOW缺陷可能影响数百个PC和服务器型号