Siber güvenlik araştırmacıları, Phoenix SecureCore UEFI ürün yazılımında birden fazla Intel Core masaüstü ve mobil işlemci ailesini etkileyen, artık yamalanmış bir güvenlik kusurunun ayrıntılarını açıkladı.
Şu şekilde izlendi: CVE-2024-0762 (CVSS puanı: 7,5), “UEFIcanhazbufferoverflow” güvenlik açığı, Güvenilir Platform Modülü (TPM) yapılandırmasında kötü amaçlı kod yürütülmesine neden olabilecek güvenli olmayan bir değişkenin kullanılmasından kaynaklanan bir arabellek taşması durumu olarak tanımlandı.
Tedarik zinciri güvenlik firması Eclypsium, The Hacker News ile paylaşılan bir raporda, “Güvenlik açığı, yerel bir saldırganın ayrıcalıkları artırmasına ve çalışma zamanı sırasında UEFI ürün yazılımı içinde kod yürütme elde etmesine olanak tanıyor.” dedi.
“Bu tür düşük seviyeli istismar, doğada giderek daha fazla gözlemlenen donanım yazılımı arka kapılarının (örneğin, BlackLotus) tipik bir örneğidir. Bu tür implantlar, saldırganlara bir cihaz içinde sürekli kalıcılık sağlar ve sıklıkla, ortamda çalışan daha yüksek seviyeli güvenlik önlemlerinden kaçma yeteneği sağlar. işletim sistemi ve yazılım katmanları.”
Sorumlu bir açıklamanın ardından güvenlik açığı, Nisan 2024’te Phoenix Technologies tarafından giderildi. PC üreticisi Lenovo da geçen ay itibarıyla kusura yönelik güncellemeler yayınladı.
Ürün yazılımı geliştiricisi, “Bu güvenlik açığı, AlderLake, CoffeeLake, CometLake, IceLake, JasperLake, KabyLake, MeteorLake, RaptorLake, RocketLake ve TigerLake dahil olmak üzere belirli Intel işlemci ailelerinde çalışan Phoenix SecureCore ürün yazılımını kullanan cihazları etkiliyor” dedi.
BIOS’un halefi olan UEFI, başlatma sırasında donanım bileşenlerini başlatmak ve işletim sistemini önyükleme yöneticisi aracılığıyla yüklemek için kullanılan anakart ürün yazılımını ifade eder.
UEFI’nin en yüksek ayrıcalıklarla çalıştırılan ilk kod olması, güvenlik mekanizmalarını bozabilecek ve tespit edilmeden kalıcılığı koruyabilecek önyükleme kitleri ve ürün yazılımı implantasyonları dağıtmak isteyen tehdit aktörleri için onu kazançlı bir hedef haline getirdi.
Bu aynı zamanda UEFI ürün yazılımında keşfedilen güvenlik açıklarının aynı anda birçok farklı ürünü ve satıcıyı etkileyebileceğinden ciddi bir tedarik zinciri riski oluşturabileceği anlamına da gelir.
Eclypsium, “UEFI ürün yazılımı, modern cihazlardaki en yüksek değerli kodlardan biridir ve bu kodun herhangi bir şekilde ele geçirilmesi, saldırganlara cihaz üzerinde tam kontrol ve kalıcılık sağlayabilir.” dedi.
Bu gelişme, şirketin HP’nin UEFI uygulamasında, Eylül 2020 itibarıyla kullanım ömrü sonu (EoL) durumuna ulaşan bir aygıt olan HP ProBook 11 EE G1’i etkileyen benzer bir düzeltme eki uygulanmamış arabellek taşması kusurunu açıklamasından yaklaşık bir ay sonra gerçekleşti.
Aynı zamanda, saldırganların diğer işletim sistemleri tarafından diskte depolanan sırlara erişmek veya disk şifreleme veya önyükleme korumaları gibi TPM tarafından korunan kontrolleri zayıflatmak için kullanılabilecek TPM GPIO Reset adı verilen bir yazılım saldırısının da ortaya çıkmasının ardından geldi.