Intel işlemcilerde yeni yayınlanan bir güvenlik açığından çok sayıda bilgisayar etkilenmesi muhtemeldir.
Ne yazık ki “UEFIcanhazbufferoverflow” olarak adlandırılan CVE-2024-0762, Phoenix Technologies’in SecureCore Birleşik Genişletilebilir Ürün Yazılımı Arayüzü (UEFI) donanım yazılımının birden fazla sürümünü etkileyen bir arabellek taşması sorunudur. Birinci Mayıs ayında satıcı tarafından açıklandıartık Eclypsium araştırmacıları tarafından ayrıntılı olarak açıklanmıştır. bir blog yazısında.
Bunu ilk kez Kasım ayında Lenovo ThinkPad X1 Carbon 7. Nesil ve X1 Yoga 4. Nesil dizüstü bilgisayarlardaki UEFI görüntülerini analiz ederken fark ettiler. Sorun, bir UEFI değişkeninin içeriğini okumak için kullanılan GetVariable() çalışma zamanı hizmetine yapılan güvenli olmayan çağrıdan kaynaklanmaktadır. Yeterli kontrollerin olmaması, bir saldırganın çok fazla veri beslemesine ve dolayısıyla taşmaya neden olabilir. Saldırgan buradan ayrıcalıkları yükselterek ve çalışma zamanı sırasında hedeflenen makinede kod çalıştırarak avantaj elde edebilir.
Böceğin ciddiyetinden daha da kötüsü yayılmasıdır. Intel sarf malzemeleri PC işlemcilerinin çoğunluğu Dünyanın her yerinde satılıyor ve SecureCore ürün yazılımı 10 farklı nesil Intel çipinde çalışıyor. Eclypsium, bu durumun geniş bir satıcı yelpazesindeki yüzlerce bilgisayar modelini etkileyebileceğini tahmin ediyor.
UEFI ile Ovma
Bir makinede kötü niyetli saldırıların bu kadar etkili olduğu ve ortadan kaldırılmasının UEFI ve öncülü BIOS kadar zor olduğu çok az alan vardır. Bir sistemin nasıl önyüklendiğini kontrol eden ürün yazılımı arayüzü olarak, kullanıcı cihazındaki güç düğmesine bastığında çalışan ilk ve en ayrıcalıklı koddur.
Özel statüsü var uzak ve geniş saldırganları cezbetti Son yıllarda, kök düzeyinde ayrıcalıklara sahip olmalarına, yeniden başlatma yoluyla kalıcılık sağlamalarına, normalde daha geleneksel kötü amaçlı yazılımları yakalayabilecek güvenlik programlarını atlamalarına ve daha pek çok şeye olanak tanıdı.
Eclypsium’un tehdit araştırması ve istihbarat direktörü Nate Warfield, “Burası hacklemek için pek iyi bir yer değil ama mağaza açmak için gerçekten iyi bir yer” diye açıklıyor.
“Bilgisayarın başlatılmasının bu aşamasında kod yürütmeniz varsa, önyükleme sektörüne bir şey bırakın. Veya bu vektörü, başlamadan önce Windows’a kötü amaçlı yazılım enjekte etmek için kullanabilirsiniz.” CosmicStrand UEFI kök seti bir örnek olarak. UEFIcanhazbufferoverflow’u bu kadar tehlikeli yapan da budur.
Yine de CVSS puanlama sisteminde 10 üzerinden yalnızca “yüksek” 7,5 olarak değerlendirildi. Warfield bunun birkaç faktöre bağlı olduğunu söylüyor.
İlk olarak, saldırganın hedeflenen makineye zaten erişiminin olması gerekir.
Ek olarak, tipik başlık güvenlik açığınızdan farklı olarak, bu durumda istismarların, hedeflenen bilgisayar modelinin yapılandırmasına ve sorunlu değişkene atanan izinlere bağlı olarak belirli bir dereceye kadar özelleştirilmesi gerekebilir ve bu da tüm olaya belirli bir derecede karmaşıklık katar.
İyi Haber ve (Daha Fazla) Kötü
Ne yazık ki aynı karmaşıklık yama geliştiren satıcıları da kapsıyor.
“Bulduğumuz güvenlik açığı birçok farklı sürümü etkiledi. [Phoenix’s] UEFI kodu. Bu yüzden müşterileri için bunların hepsine yama yapmak zorunda kaldılar ve şimdi herkesin gidip bunları alıp BIOS’larının tüm sürümleri için paketlemesi gerekiyor” diye açıklıyor Warfield. “Sonunda 10, 15 veya 10’u düzeltmek zorunda kalabilirler 20 farklı minik fark [in architecture] çünkü bu şu kadar GPU’yu destekliyor, bu da anakart için farklı donanım yapılandırmalarını destekliyor. Bunu bilmek mümkün değil.”
Son aylarda araştırmacılarla koordineli çalışan Lenovo, geçen ay düzeltmeler yayınlamaya başladımancak bazı bilgisayarlar yazın sonlarına kadar açıkta kalacak. Daha yeni bilgi sahibi olan diğer orijinal ekipman ve tasarım üreticilerinin bu işi daha da uzun süreceği kesindir. Intel destekli bilgisayarları kullanan kuruluşlar bu arada parmaklarını oynatmaktan başka pek bir şey yapamazlar.
Warfield, “Kısacası tüm tedarik zinciri sorunu budur” diyor. “Satıcıyı bilgilendirdik. Düzeltmelerini paketleyip son kullanıcı olan müşterilerine teslim etmek zorunda olan müşterilerinin OEM’lerine bunu söylemelerini beklemek zorundayız.”