Pesquisadores de segurança cibernética divulgaram detalhes de uma falha de segurança agora corrigida no firmware Phoenix SecureCore UEFI que afeta várias famílias de processadores Intel Core para desktop e móveis.
Rastreado como CVE-2024-0762 (pontuação CVSS: 7,5), a vulnerabilidade “UEFIcanhazbufferoverflow” foi descrita como um caso de buffer overflow decorrente do uso de uma variável insegura na configuração do Trusted Platform Module (TPM) que pode resultar na execução de código malicioso.
“A vulnerabilidade permite que um invasor native aumente privilégios e obtenha execução de código dentro do firmware UEFI durante o tempo de execução”, disse a empresa de segurança da cadeia de suprimentos Eclypsium em um relatório compartilhado com o The Hacker Information.
“Esse tipo de exploração de baixo nível é típico de backdoors de firmware (por exemplo, BlackLotus) que são cada vez mais observados na natureza. Esses implantes dão aos invasores persistência contínua dentro de um dispositivo e, muitas vezes, a capacidade de escapar de medidas de segurança de nível superior em execução no sistema operacional e camadas de software program.”
Após divulgação responsável, a vulnerabilidade foi corrigida pela Phoenix Applied sciences em abril de 2024. A fabricante de PCs Lenovo também lançou atualizações para a falha no mês passado.
“Esta vulnerabilidade afeta dispositivos que usam firmware Phoenix SecureCore executados em famílias selecionadas de processadores Intel, incluindo AlderLake, CoffeeLake, CometLake, IceLake, JasperLake, KabyLake, MeteorLake, RaptorLake, RocketLake e TigerLake”, disse o desenvolvedor do firmware.
UEFI, sucessor do BIOS, refere-se ao firmware da placa-mãe usado durante a inicialização para inicializar os componentes de {hardware} e carregar o sistema operacional por meio do gerenciador de inicialização.
O fato de UEFI ser o primeiro código executado com os privilégios mais altos tornou-o um alvo lucrativo para agentes de ameaças que buscam implantar bootkits e implantes de firmware que podem subverter mecanismos de segurança e manter a persistência sem serem detectados.
Isso também significa que as vulnerabilidades descobertas no firmware UEFI podem representar um grave risco para a cadeia de suprimentos, pois podem afetar muitos produtos e fornecedores diferentes ao mesmo tempo.
“O firmware UEFI é um dos códigos de maior valor em dispositivos modernos, e qualquer comprometimento desse código pode dar aos invasores controle complete e persistência no dispositivo”, disse Eclypsium.
O desenvolvimento ocorre quase um mês depois que a empresa divulgou uma falha semelhante de buffer overflow não corrigida na implementação de UEFI da HP que afeta o HP ProBook 11 EE G1, um dispositivo que atingiu o standing de fim de vida (EoL) em setembro de 2020.
Também segue a divulgação de um ataque de software program chamado TPM GPIO Reset, que pode ser explorado por invasores para acessar segredos armazenados em disco por outros sistemas operacionais ou minar controles protegidos pelo TPM, como criptografia de disco ou proteções de inicialização.
