研究人员发现影响多款英特尔 CPU 的 UEFI 漏洞

网络安全研究人员披露了 Phoenix SecureCore UEFI 固件中现已修复的安全漏洞的详细信息，该漏洞影响多个系列的英特尔酷睿台式机和移动处理器。

“UEFIcanhazbufferoverflow”漏洞的编号为CVE-2024-0762（CVSS 评分：7.5），它被描述为一种缓冲区溢出的情况，源于在受信任平台模块 (TPM) 配置中使用不安全变量，可能导致执行恶意代码。

供应链安全公司 Eclypsium在与 The Hacker News 分享的一份报告中表示： “该漏洞允许本地攻击者提升权限并在运行时在 UEFI 固件中执行代码。”

“这种低级利用是固件后门（例如BlackLotus）的典型特征，这种后门在野外越来越常见。此类植入使攻击者能够在设备中持续驻留，并且通常能够逃避在操作系统和软件层中运行的更高级别的安全措施。”

在负责任地披露之后，Phoenix Technologies 于 2024 年 4 月解决了该漏洞。个人电脑制造商联想也在上个月发布了针对该漏洞的更新。

固件开发人员表示：“此漏洞会影响使用 Phoenix SecureCore 固件并运行部分英特尔处理器系​​列的设备，包括 AlderLake、CoffeeLake、CometLake、IceLake、JasperLake、KabyLake、MeteorLake、RaptorLake、RocketLake 和 TigerLake。”

UEFI是 BIOS 的后继者，是指启动期间用于初始化硬件组件并通过启动管理器加载操作系统的主板固件。

由于 UEFI 是第一个以最高权限运行的代码，因此它对于威胁行为者来说是一个有利可图的目标，威胁行为者希望部署启动工具包和固件植入程序，这些程序可以破坏安全机制并在不被发现的情况下保持持久性。

这也意味着在 UEFI 固件中发现的漏洞可能带来严重的供应链风险，因为它们可以同时影响许多不同的产品和供应商。

Eclypsium 表示：“UEFI 固件是现代设备上最有价值的代码之一，任何对该代码的破坏都可能让攻击者完全控制并持久控制设备。”

近一个月前，惠普披露了其 UEFI 实施中一个类似的未修补的缓冲区溢出漏洞，该漏洞影响了 HP ProBook 11 EE G1，该设备于 2020 年 9 月已达到使用寿命终止 (EoL) 状态。

此前还披露了一种名为 TPM GPIO Reset 的软件攻击，攻击者可利用该攻击访问其他操作系统存储在磁盘上的机密信息，或破坏受 TPM 保护的控制（例如磁盘加密或启动保护）。