Nueva vulnerabilidad UEFI en Phoenix afecta a cientos de modelos de PC Intel
Se ha descubierto una nueva vulnerabilidad en el firmware Phoenix SecureCore UEFI, identificada como CVE-2024-0762, que afecta a dispositivos con numerosos procesadores Intel. Lenovo ya ha lanzado actualizaciones de firmware para solucionar esta falla.
La vulnerabilidad, denominada ‘UEFICANHAZBUFFEROVERFLOW’, es un error de desbordamiento de búfer en la configuración del Módulo de Plataforma Confiable (TPM) del firmware que podría ser explotado para ejecutar código en dispositivos vulnerables.
La falla fue descubierta por Eclypsium, que la identificó en los dispositivos Lenovo ThinkPad X1 Carbon 7th Gen y X1 Yoga 4th Gen, pero más tarde confirmó con Phoenix que afecta al firmware SecureCore para los procesadores Intel Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake y Tiger Lake.
Debido al gran número de CPUs Intel que usan este firmware, la vulnerabilidad tiene el potencial de afectar a cientos de modelos de Lenovo, Dell, Acer y HP.
El firmware UEFI es un objetivo valioso
El firmware UEFI se considera más seguro ya que incluye Secure Boot, compatible con todos los sistemas operativos modernos, incluidos Windows, macOS y Linux. Secure Boot confirma criptográficamente que un dispositivo solo se inicia usando controladores y software de confianza, bloqueando el proceso de arranque si detecta software malicioso.
Dado que Secure Boot dificulta mucho que los actores malintencionados instalen malware persistente en el arranque y controladores, los errores en UEFI se han convertido en objetivos cada vez más frecuentes para crear malware llamado bootkits.
Los bootkits son malware que se cargan muy temprano en el proceso de arranque UEFI, lo que le da a los programas maliciosos acceso de bajo nivel a la operación y los hace muy difíciles de detectar, como se ha visto en los malwares UEFI BlackLotus, CosmicStrand y MosaicAggressor.
Eclypsium afirma que el error que encontraron radica en un desbordamiento de búfer dentro del subsistema del Modo de Gestión del Sistema (SMM) del firmware Phoenix SecureCore, lo que permite a los atacantes sobrescribir potencialmente la memoria adyacente.
Si la memoria se sobrescribe con los datos correctos, un atacante podría elevar privilegios y obtener capacidades de ejecución de código en el firmware para instalar malware bootkit.
“El problema involucra una variable no segura en la configuración del Módulo de Plataforma Confiable (TPM) que podría llevar a un desbordamiento de búfer y potencialmente a la ejecución de código malicioso”, advierte Eclypsium.
“Para ser claros, esta vulnerabilidad radica en el código UEFI que maneja la configuración del TPM; en otras palabras, no importa si tienes un chip de seguridad como un TPM si el código subyacente está defectuoso.”
Después de descubrir el error, Eclypsium coordinó una divulgación con Phoenix y Lenovo para solucionar las fallas.
En abril, Phoenix emitió un aviso y Lenovo comenzó a lanzar nuevo firmware en mayo para resolver las vulnerabilidades en más de 150 modelos diferentes. Es importante señalar que no todos los modelos tienen firmware disponible en este momento, y muchos están planificados para más adelante este año.
Dónde Conseguir Donas Gratis en el Día Nacional de la Dona
En 2024, ha habido mucha conversación sobre cómo la comida rápida se está volviendo más cara, pero no hay nada mejor que lo gratis. Este Día Nacional de la Dona, el 7 de junio, las principales cadenas de panaderías de Estados Unidos, incluidas Dunkin’, Krispy Kreme y Shipley, quieren ayudar a los clientes a celebrar ofreciendo la mejor oferta: una dona gratis (o “donut”; el Día Nacional de la Dona reconoce ambas ortografías).
Curiosamente, mientras que muchos de los días nacionales de [X] son el resultado de esfuerzos de cabildeo modernos, el Día Nacional de la Dona se remonta a 1938, cuando el Ejército de Salvación creó esta festividad en reconocimiento a las “Donut Lassies” que servían pasteles a los soldados en las líneas del frente durante la Primera Guerra Mundial. Este viernes, 7 de junio, muchas cadenas promocionarán ofertas del Día Nacional de la Dona, y si juegas bien tus cartas, podrías obtener mucha comida gratis. Aquí te decimos dónde ir para conseguir las mejores donas gratis.
Duck Donuts Duck Donuts, la cadena con sede en Pensilvania que cuenta con más de 100 ubicaciones en todo el país, tiene una oferta sin necesidad de compra para el Día Nacional de la Dona: los clientes que entren en la tienda recibirán una dona de azúcar con canela gratis solo por entrar. “¡Piénsalo como nuestra forma de esparcir felicidad!” escribió la cadena en Instagram.
Dunkin’ Los clientes pueden aprovechar la oferta en cualquier ubicación de Dunkin’ en todo el país este viernes recibiendo una dona clásica gratis de su elección con la compra de cualquier bebida. Dependiendo de la disponibilidad, hay una variedad de donas clásicas para elegir: azúcar con canela, donas de jalea, arándano, rellenas de crema, glaseado de vainilla, coco y muchas más. Esta oferta solo está disponible el 7 de junio, hasta agotar existencias.
Krispy Kreme Este viernes, dirígete a tu ubicación más cercana de Krispy Kreme para recibir cualquier dona “favorita” gratis. Por cierto, es completamente gratis, sin necesidad de compra (aunque, ¿quién no querría acompañar una dona con una buena taza de café?). Esta oferta excluye las donas de tiempo limitado como la colección “Southern Sweets” de Dolly Parton, pero incluye una variedad de donas clásicas y de pastel. Algunas ubicaciones de Krispy Kreme también ofrecerán una docena de Original Glazed a un precio descontado de $2 cuando compres cualquier docena a precio regular en tienda o en el drive-thru.
Randy’s Donuts La tienda de donas sinónimo de California está abriendo una nueva ubicación en Chula Vista el 7 de junio, y dado que coincide con el Día Nacional de la Dona, los clientes pueden llegar a la nueva tienda desde las 6 a.m. hasta las 12 p.m. para obtener una dona glaseada gratis. Lo mejor de todo es que las primeras 10 personas en llegar ganarán donas gratis por un año entero. Prepárate para llenar el tanque de tu coche y dirigirte a la Costa Oeste.
Shipley Do-Nuts Los clientes que visiten esta cadena de donas principalmente del sur de EE. UU. el 7 de junio pueden recibir una dona glaseada gratis con cualquier compra. A diferencia de algunas otras promociones del Día Nacional de la Dona, los clientes pueden canjear esta oferta en la tienda o en línea con el código DONUTDAY24, hasta agotar existencias. Los miembros del programa DO-HAPPY Rewards de Shipley también pueden hacer un pedido utilizando el código de cupón que aparece en la aplicación.
Voodoo Doughnut Voodoo Doughnut permaneció como una tienda famosa únicamente en Portland, Oregón durante años, pero dos décadas después de su inicio, ha comenzado a expandirse a nivel nacional. Este Día Nacional de la Dona, está orgullosa de vivir según su lema, “Las Cosas Buenas Vienen en Cajas Rosas”, lanzando una docena de donas glaseadas rosadas por tiempo limitado. La caja contiene 13 donas, cada una de color rosa brillante como un guiño a la icónica marca de la cadena, y cada docena costará $10.