Falha no UEFI Phoenix
21 de Junho de 2024

Uma vulnerabilidade recém-descoberta no firmware UEFI Phoenix SecureCore, rastreada como CVE-2024-0762 , impacta dispositivos que utilizam diversos CPUs da Intel, com a Lenovo já tendo lançado novas atualizações de firmware para resolver a falha.

A vulnerabilidade, apelidada de 'UEFICANHAZBUFFEROVERFLOW', é um bug de overflow de buffer na configuração do Trusted Platform Module (TPM) do firmware que pode ser explorado para executar código em dispositivos vulneráveis.

A falha foi descoberta pela Eclypsium, que identificou inicialmente nos dispositivos Lenovo ThinkPad X1 Carbon 7ª Geração e X1 Yoga 4ª Geração, mas mais tarde confirmou com a Phoenix que ela afeta o firmware SecureCore para os CPUs da Intel Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake e Tiger Lake também.

Devido ao grande número de CPUs da Intel que utilizam este firmware, a vulnerabilidade tem o potencial de impactar centenas de modelos da Lenovo, Dell, Acer e HP.

O firmware UEFI é considerado mais seguro pois inclui o Secure Boot, que é suportado por todos os sistemas operacionais modernos, incluindo Windows, macOS e Linux.

O Secure Boot confirma criptograficamente que um dispositivo só é inicializado usando drivers e softwares confiáveis, bloqueando o processo de boot se detectar software malicioso.

Como o Secure Boot torna muito mais difícil para os atores de ameaças instalarem malware persistente de boot e drivers, bugs no UEFI têm sido cada vez mais visados para criar malware chamado bootkits.

Bootkits são malwares que carregam muito cedo no processo de boot do UEFI, dando aos programas maliciosos acesso de baixo nível à operação e tornando-os muito difíceis de detectar, como vimos com os malwares UEFI BlackLotus, CosmicStrand e MosaicAggressor.

A Eclypsium diz que o bug encontrado está em um overflow de buffer dentro do subsistema do Modo de Gerenciamento de Sistema (SMM) do firmware Phoenix SecureCore, permitindo que atacantes potencialmente sobrescrevam a memória adjacente.

Se a memória for sobrescrita com os dados corretos, um atacante poderia potencialmente elevar privilégios e obter capacidades de execução de código no firmware para instalar malware do tipo bootkit.

"O problema envolve uma variável insegura na configuração do Trusted Platform Module (TPM) que poderia levar a um overflow de buffer e execução de código malicioso em potencial", adverte a Eclypsium.

Para ser claro, essa vulnerabilidade está no código UEFI que lida com a configuração do TPM — em outras palavras, não importa se você tem um chip de segurança como o TPM se o código subjacente está com falhas.

Após descobrir o bug, a Eclypsium coordenou uma divulgação com a Phoenix e a Lenovo para corrigir as falhas.

Em abril, a Phoenix emitiu um aviso e a Lenovo começou a lançar novos firmwares em maio para resolver as vulnerabilidades em mais de 150 modelos diferentes.

É importante notar que nem todos os modelos têm firmware disponível neste momento, com muitos planejados para serem lançados mais tarde neste ano.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...