Çeşitli Intel işlemcilerde çalışan Phoenix SecureCore UEFI’deki bir güvenlik açığı (CVE-2024-0762), ayrıcalıkları yükseltmek ve çalışma zamanı sırasında ürün yazılımı içinde rastgele kod çalıştırmak için yerel olarak kullanılabilir.
Eclypsium araştırmacıları, “Bu tür düşük seviyeli istismar, doğada giderek daha fazla gözlemlenen donanım yazılımı arka kapılarının (örneğin, BlackLotus) tipik bir örneğidir” dedi.
“Bu tür implantlar, saldırganlara bir cihaz içinde sürekli kalıcılık ve çoğu zaman işletim sistemi ve yazılım katmanlarında çalışan daha yüksek düzeydeki güvenlik önlemlerinden kaçma yeteneği sağlıyor.”
CVE-2024-0762 Hakkında
Güvenlik açığı, GetVariable UEFI hizmetine yapılan güvenli olmayan bir çağrıyla ilgilidir ve bu, yararlanılabilir bir yığın arabellek taşması durumuna yol açabilir.
“Açık olmak gerekirse, bu güvenlik açığı UEFI kodunun işlenmesinde yatıyor [Trusted Platform Module] Başka bir deyişle, temel kod kusurluysa TPM gibi bir güvenlik yongasına sahip olmanızın bir önemi yok” diye belirtiyor araştırmacılar.
Güvenlik açığı iki Lenovo ThinkPad dizüstü bilgisayarda keşfedildi ancak Phoenix Technologies, bunun SecureCore ürün yazılımının çeşitli Intel işlemci ailelerinde çalışan birden fazla sürümünü etkilediğini doğruladı: Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Göl, Raptor Gölü, Roket Gölü ve Kaplan Gölü. Oradaki savunmasız bilgisayarların yalnızca Lenovo dizüstü bilgisayarları olmadığından emin olabilirsiniz.
Phoenix bu yılın başlarında UEFI’sinde azaltımlar uyguladı ve Lenovo, etkilenen cihazlar için BIOS güncellemelerini yayınladı. Diğer satıcıların da – eğer henüz yapmamışlarsa – onların izinden gidecekleri kesindir. Kullanıcıların en son ürün yazılımı güncellemeleri için satıcı web sitelerini kontrol etmeleri önerilir.
Şu anda vahşi sömürüden söz edilmiyor. Gerçekte, sömürünün yaygın şekilde kullanılması zor olabilir. Araştırmacılara göre “Kullanım olasılığı, TCG2_CONFIGURATION değişkenine atanan yapılandırmaya ve izne bağlıdır ve bu, her platform için farklı olabilir.”