Phoenix SecureCore UEFI ürün yazılımında CVE-2024-0762 olarak izlenen yeni keşfedilen bir güvenlik açığı, çok sayıda Intel CPU çalıştıran cihazları etkiliyor; Lenovo, bu kusuru çözmek için halihazırda yeni ürün yazılımı güncellemeleri yayınlıyor.
‘UEFICANHAZBUFFEROVERFLOW’ olarak adlandırılan güvenlik açığı, ürün yazılımının Güvenilir Platform Modülü (TPM) yapılandırmasında bulunan ve güvenlik açığı bulunan cihazlarda kod yürütme gerçekleştirmek için yararlanılabilen bir arabellek taşması hatasıdır.
Kusur, Lenovo ThinkPad X1 Carbon 7. Nesil ve X1 Yoga 4. Nesil cihazlarda tespit eden Eclypsium tarafından keşfedildi, ancak daha sonra Phoenix ile bunun Alder Lake, Coffee Lake, Comet Lake, Ice Lake ve Jasper Lake için SecureCore donanım yazılımını etkilediği doğrulandı. , Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake ve Tiger Lake Intel CPU’ları.
Bu ürün yazılımını kullanan çok sayıda Intel CPU nedeniyle güvenlik açığının Lenovo, Dell, Acer ve HP’nin yüzlerce modelini etkileme potansiyeli var.
UEFI ürün yazılımı değerli bir hedeftir
UEFI ürün yazılımı, Windows, macOS ve Linux dahil tüm modern işletim sistemleri tarafından desteklenen Güvenli Önyüklemeyi içerdiğinden daha güvenli kabul edilir. Güvenli Önyükleme, bir aygıtın yalnızca güvenilir sürücüler ve yazılım kullanılarak önyüklendiğini kriptografik olarak doğrular ve kötü amaçlı yazılım algılarsa önyükleme işlemini engeller.
Güvenli Önyükleme, tehdit aktörlerinin kalıcı önyükleme kötü amaçlı yazılımları ve sürücüleri yüklemesini çok daha zorlaştırdığından, UEFI hataları, önyükleme seti adı verilen kötü amaçlı yazılımlar oluşturmak için giderek daha fazla hedef haline geliyor.
Bootkit’ler, UEFI önyükleme sürecinde çok erken yüklenen, kötü amaçlı programlara operasyona düşük düzeyde erişim sağlayan ve BlackLotus, CosmicStrand ve MosaicAggressor UEFI kötü amaçlı yazılımlarında gördüğümüz gibi bunların tespit edilmesini çok zorlaştıran kötü amaçlı yazılımlardır.
Eclypsium, buldukları hatanın Phoenix SecureCore ürün yazılımının Sistem Yönetim Modu (SMM) alt sistemindeki arabellek taşmasında yattığını ve saldırganların bitişik belleğin üzerine yazma potansiyeline sahip olduğunu söylüyor.
Belleğin üzerine doğru veriler yazılırsa, saldırgan potansiyel olarak ayrıcalıkları yükseltebilir ve önyükleme kiti kötü amaçlı yazılımını yüklemek için ürün yazılımındaki kod yürütme yeteneklerini kazanabilir.
Eclypsium, “Sorun, Güvenilir Platform Modülü (TPM) yapılandırmasında arabellek taşmasına ve potansiyel kötü amaçlı kod yürütülmesine yol açabilecek güvenli olmayan bir değişken içeriyor” diye uyarıyor.
“Açık olmak gerekirse, bu güvenlik açığı TPM yapılandırmasını işleyen UEFI kodunda yatıyor; başka bir deyişle, temel kod kusurluysa TPM gibi bir güvenlik yongasına sahip olmanızın bir önemi yok.”
Hatayı keşfettikten sonra Eclypsium, kusurları düzeltmek için Phoenix ve Lenovo ile bir açıklama koordine etti.
Nisan ayında Phoenix bir öneri yayınladı ve Lenovo, 150’den fazla farklı modeldeki güvenlik açıklarını gidermek için Mayıs ayında yeni ürün yazılımı yayınlamaya başladı. Şu anda tüm modellerde mevcut donanım yazılımının mevcut olmadığını ve birçoğunun bu yılın ilerleyen zamanları için planlandığını unutmamak önemlidir.