Nueva vulnerabilidad UEFI en Phoenix afecta a cientos de modelos de PC Intel
Se ha descubierto una nueva vulnerabilidad en el firmware Phoenix SecureCore UEFI, identificada como CVE-2024-0762, que afecta a dispositivos con numerosos procesadores Intel. Lenovo ya ha lanzado actualizaciones de firmware para solucionar esta falla.
La vulnerabilidad, denominada ‘UEFICANHAZBUFFEROVERFLOW’, es un error de desbordamiento de búfer en la configuración del Módulo de Plataforma Confiable (TPM) del firmware que podría ser explotado para ejecutar código en dispositivos vulnerables.
La falla fue descubierta por Eclypsium, que la identificó en los dispositivos Lenovo ThinkPad X1 Carbon 7th Gen y X1 Yoga 4th Gen, pero más tarde confirmó con Phoenix que afecta al firmware SecureCore para los procesadores Intel Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake y Tiger Lake.
Debido al gran número de CPUs Intel que usan este firmware, la vulnerabilidad tiene el potencial de afectar a cientos de modelos de Lenovo, Dell, Acer y HP.
El firmware UEFI es un objetivo valioso
El firmware UEFI se considera más seguro ya que incluye Secure Boot, compatible con todos los sistemas operativos modernos, incluidos Windows, macOS y Linux. Secure Boot confirma criptográficamente que un dispositivo solo se inicia usando controladores y software de confianza, bloqueando el proceso de arranque si detecta software malicioso.
Dado que Secure Boot dificulta mucho que los actores malintencionados instalen malware persistente en el arranque y controladores, los errores en UEFI se han convertido en objetivos cada vez más frecuentes para crear malware llamado bootkits.
Los bootkits son malware que se cargan muy temprano en el proceso de arranque UEFI, lo que le da a los programas maliciosos acceso de bajo nivel a la operación y los hace muy difíciles de detectar, como se ha visto en los malwares UEFI BlackLotus, CosmicStrand y MosaicAggressor.
Eclypsium afirma que el error que encontraron radica en un desbordamiento de búfer dentro del subsistema del Modo de Gestión del Sistema (SMM) del firmware Phoenix SecureCore, lo que permite a los atacantes sobrescribir potencialmente la memoria adyacente.
Si la memoria se sobrescribe con los datos correctos, un atacante podría elevar privilegios y obtener capacidades de ejecución de código en el firmware para instalar malware bootkit.
“El problema involucra una variable no segura en la configuración del Módulo de Plataforma Confiable (TPM) que podría llevar a un desbordamiento de búfer y potencialmente a la ejecución de código malicioso”, advierte Eclypsium.
“Para ser claros, esta vulnerabilidad radica en el código UEFI que maneja la configuración del TPM; en otras palabras, no importa si tienes un chip de seguridad como un TPM si el código subyacente está defectuoso.”
Después de descubrir el error, Eclypsium coordinó una divulgación con Phoenix y Lenovo para solucionar las fallas.
En abril, Phoenix emitió un aviso y Lenovo comenzó a lanzar nuevo firmware en mayo para resolver las vulnerabilidades en más de 150 modelos diferentes. Es importante señalar que no todos los modelos tienen firmware disponible en este momento, y muchos están planificados para más adelante este año.