Phoenix SecureCore UEFI 固件中新發(fā)現(xiàn)一個漏洞被追蹤為 CVE-2024-0762，該漏洞會影響運行多種英特爾 CPU 的設(shè)備，目前聯(lián)想已經(jīng)發(fā)布了新的固件更新以解決該漏洞。

該漏洞被稱為 "UEFICANHAZBUFFEROVERFLOW"，是固件的可信平臺模塊（TPM）配置中的一個緩沖區(qū)溢出漏洞，可被利用在易受攻擊的設(shè)備上執(zhí)行代碼。

該漏洞由 Eclypsium 發(fā)現(xiàn)，他們在聯(lián)想 ThinkPad X1 Carbon 第 7 代和 X1 Yoga 第 4 代設(shè)備上發(fā)現(xiàn)了該漏洞，但后來向鳳凰科技證實，該漏洞也影響到 Alder Lake、Coffee Lake、Comet Lake、Ice Lake、Jasper Lake、Kaby Lake、Meteor Lake、Raptor Lake、Rocket Lake 和 Tiger Lake 英特爾 CPU 的 SecureCore 固件。

由于大量英特爾 CPU 使用該固件，因此該漏洞有可能影響聯(lián)想、戴爾、宏碁和惠普的數(shù)百款機(jī)型。

UEFI 固件是一個有價值的攻擊目標(biāo)

UEFI 固件被認(rèn)為是更安全的固件，因為它包括安全啟動，所有現(xiàn)代操作系統(tǒng)（包括 Windows、macOS 和 Linux）都支持安全啟動。安全啟動以加密方式確認(rèn)設(shè)備僅使用受信任的驅(qū)動程序和軟件啟動，如果檢測到惡意軟件，則會阻止啟動過程。

由于安全啟動使威脅行為者更難安裝持久性啟動惡意軟件和驅(qū)動程序，因此UEFI Bug 越來越多地成為創(chuàng)建名為 Bootkits 的惡意軟件的目標(biāo)。

Bootkits 是一種在 UEFI 啟動過程早期加載的惡意軟件，可讓惡意程序獲得低級操作權(quán)限，從而使其很難被檢測到，如我們看到的 BlackLotus、CosmicStrand 和 MosaicAggressor UEFI 惡意軟件。

Eclypsium稱，他們發(fā)現(xiàn)的漏洞是Phoenix SecureCore固件的系統(tǒng)管理模式（SMM）子系統(tǒng)中的緩沖區(qū)溢出，允許攻擊者覆蓋相鄰內(nèi)存。

如果用正確的數(shù)據(jù)覆蓋內(nèi)存，攻擊者就有可能提升權(quán)限，獲得固件中的代碼執(zhí)行能力，從而安裝引導(dǎo)工具包惡意軟件。

Eclypsium警告稱：該問題涉及可信平臺模塊（TPM）配置中的一個不安全變量，可能導(dǎo)致緩沖區(qū)溢出和潛在的惡意代碼執(zhí)行。

簡單來說，就是這個漏洞存在于處理 TPM 配置的 UEFI 代碼中，如果底層代碼存在缺陷，有沒有 TPM 這樣的安全芯片并不重要。

今年 4 月，Phoenix 發(fā)布了一份公告，聯(lián)想也于 5 月開始發(fā)布新固件，以解決 150 多種不同機(jī)型的漏洞問題。值得注意的是，目前并非所有機(jī)型都有可用固件，許多機(jī)型計劃在今年晚些時候推出。