Phoenix SecureCore UEFI 固件中新發(fā)現(xiàn)一個(gè)漏洞被追蹤為 CVE-2024-0762，該漏洞會(huì)影響運(yùn)行多種英特爾 CPU 的設(shè)備，目前聯(lián)想已經(jīng)發(fā)布了新的固件更新以解決該漏洞。

該漏洞被稱為 "UEFICANHAZBUFFEROVERFLOW"，是固件的可信平臺(tái)模塊（TPM）配置中的一個(gè)緩沖區(qū)溢出漏洞，可被利用在易受攻擊的設(shè)備上執(zhí)行代碼。

該漏洞由 Eclypsium 發(fā)現(xiàn)，他們?cè)诼?lián)想 ThinkPad X1 Carbon 第 7 代和 X1 Yoga 第 4 代設(shè)備上發(fā)現(xiàn)了該漏洞，但后來(lái)向鳳凰科技證實(shí)，該漏洞也影響到 Alder Lake、Coffee Lake、Comet Lake、Ice Lake、Jasper Lake、Kaby Lake、Meteor Lake、Raptor Lake、Rocket Lake 和 Tiger Lake 英特爾 CPU 的 SecureCore 固件。

由于大量英特爾 CPU 使用該固件，因此該漏洞有可能影響聯(lián)想、戴爾、宏碁和惠普的數(shù)百款機(jī)型。

UEFI 固件是一個(gè)有價(jià)值的攻擊目標(biāo)

UEFI 固件被認(rèn)為是更安全的固件，因?yàn)樗ò踩珕?dòng)，所有現(xiàn)代操作系統(tǒng)（包括 Windows、macOS 和 Linux）都支持安全啟動(dòng)。安全啟動(dòng)以加密方式確認(rèn)設(shè)備僅使用受信任的驅(qū)動(dòng)程序和軟件啟動(dòng)，如果檢測(cè)到惡意軟件，則會(huì)阻止啟動(dòng)過(guò)程。

由于安全啟動(dòng)使威脅行為者更難安裝持久性啟動(dòng)惡意軟件和驅(qū)動(dòng)程序，因此UEFI Bug 越來(lái)越多地成為創(chuàng)建名為 Bootkits 的惡意軟件的目標(biāo)。

Bootkits 是一種在 UEFI 啟動(dòng)過(guò)程早期加載的惡意軟件，可讓惡意程序獲得低級(jí)操作權(quán)限，從而使其很難被檢測(cè)到，如我們看到的 BlackLotus、CosmicStrand 和 MosaicAggressor UEFI 惡意軟件。

Eclypsium稱，他們發(fā)現(xiàn)的漏洞是Phoenix SecureCore固件的系統(tǒng)管理模式（SMM）子系統(tǒng)中的緩沖區(qū)溢出，允許攻擊者覆蓋相鄰內(nèi)存。

如果用正確的數(shù)據(jù)覆蓋內(nèi)存，攻擊者就有可能提升權(quán)限，獲得固件中的代碼執(zhí)行能力，從而安裝引導(dǎo)工具包惡意軟件。

Eclypsium警告稱：該問(wèn)題涉及可信平臺(tái)模塊（TPM）配置中的一個(gè)不安全變量，可能導(dǎo)致緩沖區(qū)溢出和潛在的惡意代碼執(zhí)行。

簡(jiǎn)單來(lái)說(shuō)，就是這個(gè)漏洞存在于處理 TPM 配置的 UEFI 代碼中，如果底層代碼存在缺陷，有沒(méi)有 TPM 這樣的安全芯片并不重要。

今年 4 月，Phoenix 發(fā)布了一份公告，聯(lián)想也于 5 月開(kāi)始發(fā)布新固件，以解決 150 多種不同機(jī)型的漏洞問(wèn)題。值得注意的是，目前并非所有機(jī)型都有可用固件，許多機(jī)型計(jì)劃在今年晚些時(shí)候推出。