Investigadores de ciberseguridad han revelado detalles de una falla de seguridad ahora parcheada en el firmware Phoenix SecureCore UEFI que afecta a múltiples familias de procesadores Intel Core de escritorio y móviles.
Registrada como CVE-2024-0762 (puntuación CVSS: 7,5), la vulnerabilidad «UEFIcanhazbufferoverflow» se ha descrito como un caso de desbordamiento del búfer derivado del uso de una variable no segura en la configuración del Módulo de plataforma segura (TPM) que podría resultar en la ejecución de código malicioso.
«La vulnerabilidad permite a un atacante local escalar privilegios y obtener la ejecución de código dentro del firmware UEFI durante el tiempo de ejecución», dijo la firma de seguridad de la cadena de suministro Eclypsium en un informe compartido con The Hacker News.
«Este tipo de explotación de bajo nivel es típico de puertas traseras de firmware (por ejemplo, BlackLotus ) que se observan cada vez más en la naturaleza. Dichos implantes brindan a los atacantes persistencia continua dentro de un dispositivo y, a menudo, la capacidad de evadir medidas de seguridad de nivel superior que se ejecutan en el sistema operativo y capas de software.»
Tras una divulgación responsable, Phoenix Technologies abordó la vulnerabilidad en abril de 2024. El fabricante de PC Lenovo también lanzó actualizaciones para la falla el mes pasado.
«Esta vulnerabilidad afecta a los dispositivos que utilizan el firmware Phoenix SecureCore que se ejecuta en familias de procesadores Intel seleccionadas, incluidas AlderLake, CoffeeLake, CometLake, IceLake, JasperLake, KabyLake, MeteorLake, RaptorLake, RocketLake y TigerLake», dijo el desarrollador del firmware .
UEFI , sucesor de BIOS, se refiere al firmware de la placa base utilizado durante el inicio para inicializar los componentes de hardware y cargar el sistema operativo a través del administrador de arranque.
El hecho de que UEFI sea el primer código que se ejecuta con los privilegios más altos lo ha convertido en un objetivo lucrativo para los actores de amenazas que buscan implementar kits de arranque e implantes de firmware que puedan subvertir los mecanismos de seguridad y mantener la persistencia sin ser detectados.
Esto también significa que las vulnerabilidades descubiertas en el firmware UEFI pueden representar un riesgo grave para la cadena de suministro, ya que pueden afectar a muchos productos y proveedores diferentes a la vez.
«El firmware UEFI es uno de los códigos de mayor valor en los dispositivos modernos, y cualquier compromiso de ese código puede dar a los atacantes control total y persistencia en el dispositivo», dijo Eclypsium.
El desarrollo se produce casi un mes después de que la compañía revelara una falla similar de desbordamiento de búfer sin parchear en la implementación de UEFI de HP que afecta al HP ProBook 11 EE G1, un dispositivo que alcanzó el estado de fin de vida útil (EoL) en septiembre de 2020.
También sigue a la divulgación de un ataque de software llamado TPM GPIO Reset que podría ser aprovechado por atacantes para acceder a secretos almacenados en el disco por otros sistemas operativos o socavar los controles protegidos por el TPM, como el cifrado del disco o las protecciones de arranque.
Fuente y redacción: thehackernews.com