Una vulnerabilidad recientemente descubierta en el firmware Phoenix SecureCore UEFI rastreada como CVE-2024-0762 afecta a los dispositivos que ejecutan numerosas CPU Intel, y Lenovo ya ha lanzado nuevas actualizaciones de firmware para resolver la falla.
La vulnerabilidad, denominada 'UEFICANHAZBUFFEROVERFLOW', es un error de desbordamiento del búfer en la configuración del Módulo de plataforma segura (TPM) del firmware que podría explotarse para realizar la ejecución de código en dispositivos vulnerables.
La falla fue descubierta por Eclypsium, quien la identificó en los dispositivos Lenovo ThinkPad X1 Carbon 7th Gen y X1 Yoga 4th Gen, pero luego confirmó con Phoenix que afecta el firmware SecureCore para Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake. Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake y Tiger Lake Intel también.
Debido a la gran cantidad de CPU Intel que utilizan este firmware, la vulnerabilidad tiene el potencial de afectar a cientos de modelos de Lenovo, Dell, Acer y HP.
El firmware UEFI es un objetivo valioso
El firmware UEFI se considera más seguro ya que incluye Secure Boot, que es compatible con todos los sistemas operativos modernos, incluidos Windows, macOS y Linux. Secure Boot confirma criptográficamente que un dispositivo solo se inicia utilizando controladores y software confiables, bloqueando el proceso de inicio si detecta software malicioso.
Dado que Secure Boot hace que sea mucho más difícil para los actores de amenazas instalar controladores y malware de arranque persistente, los errores UEFI se han vuelto cada vez más específicos para crear malware llamado bootkits.
Los bootkits son malware que se cargan muy temprano en el proceso de arranque UEFI, lo que brinda a los programas maliciosos acceso de bajo nivel a la operación y los hace muy difíciles de detectar, como vimos con el malware UEFI BlackLotus, CosmicStrand y MosaicAggressor.
Eclypsium dice que el error que encontraron radica en un desbordamiento del búfer dentro del subsistema Modo de administración del sistema (SMM) del firmware Phoenix SecureCore, lo que permite a los atacantes sobrescribir potencialmente la memoria adyacente.
Si la memoria se sobrescribiera con los datos correctos, un atacante podría potencialmente elevar los privilegios y obtener capacidades de ejecución de código en el firmware para instalar malware de kit de arranque.
"El problema implica una variable insegura en la configuración del Módulo de plataforma segura (TPM) que podría provocar un desbordamiento del búfer y una posible ejecución de código malicioso", advierte Eclypsium.
"Para ser claros, esta vulnerabilidad radica en el código UEFI que maneja la configuración del TPM; en otras palabras, no importa si tienes un chip de seguridad como un TPM si el código subyacente es defectuoso".
Después de descubrir el error, Eclypsium coordinó una divulgación con Phoenix y Lenovo para solucionar los defectos.
En abril, Phoenix emitió un aviso y Lenovo comenzó a lanzar nuevo firmware en mayo para resolver las vulnerabilidades en más de 150 modelos diferentes. Es importante tener en cuenta que no todos los modelos tienen firmware disponible en este momento, y muchos están previstos para finales de este año.
Fuente: Phoenix UEFI vulnerability impacts hundreds of Intel PC models (bleepingcomputer.com)
¿Le ha sido útil este artículo?
¡Qué bien!
Gracias por sus comentarios
¡Sentimos mucho no haber sido de ayuda!
Gracias por sus comentarios
Sus comentarios se han enviado
Agradecemos su esfuerzo e intentaremos corregir el artículo