Falha no UEFI Phoenix
21 de Junho de 2024

Uma vulnerabilidade recém-descoberta no firmware UEFI Phoenix SecureCore, rastreada como CVE-2024-0762 , impacta dispositivos que utilizam diversos CPUs da Intel, com a Lenovo já tendo lançado novas atualizações de firmware para resolver a falha.

A vulnerabilidade, apelidada de 'UEFICANHAZBUFFEROVERFLOW', é um bug de overflow de buffer na configuração do Trusted Platform Module (TPM) do firmware que pode ser explorado para executar código em dispositivos vulneráveis.

A falha foi descoberta pela Eclypsium, que identificou inicialmente nos dispositivos Lenovo ThinkPad X1 Carbon 7ª Geração e X1 Yoga 4ª Geração, mas mais tarde confirmou com a Phoenix que ela afeta o firmware SecureCore para os CPUs da Intel Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake e Tiger Lake também.

Devido ao grande número de CPUs da Intel que utilizam este firmware, a vulnerabilidade tem o potencial de impactar centenas de modelos da Lenovo, Dell, Acer e HP.

O firmware UEFI é considerado mais seguro pois inclui o Secure Boot, que é suportado por todos os sistemas operacionais modernos, incluindo Windows, macOS e Linux.

O Secure Boot confirma criptograficamente que um dispositivo só é inicializado usando drivers e softwares confiáveis, bloqueando o processo de boot se detectar software malicioso.

Como o Secure Boot torna muito mais difícil para os atores de ameaças instalarem malware persistente de boot e drivers, bugs no UEFI têm sido cada vez mais visados para criar malware chamado bootkits.

Bootkits são malwares que carregam muito cedo no processo de boot do UEFI, dando aos programas maliciosos acesso de baixo nível à operação e tornando-os muito difíceis de detectar, como vimos com os malwares UEFI BlackLotus, CosmicStrand e MosaicAggressor.

A Eclypsium diz que o bug encontrado está em um overflow de buffer dentro do subsistema do Modo de Gerenciamento de Sistema (SMM) do firmware Phoenix SecureCore, permitindo que atacantes potencialmente sobrescrevam a memória adjacente.

Se a memória for sobrescrita com os dados corretos, um atacante poderia potencialmente elevar privilégios e obter capacidades de execução de código no firmware para instalar malware do tipo bootkit.

"O problema envolve uma variável insegura na configuração do Trusted Platform Module (TPM) que poderia levar a um overflow de buffer e execução de código malicioso em potencial", adverte a Eclypsium.

Para ser claro, essa vulnerabilidade está no código UEFI que lida com a configuração do TPM — em outras palavras, não importa se você tem um chip de segurança como o TPM se o código subjacente está com falhas.

Após descobrir o bug, a Eclypsium coordenou uma divulgação com a Phoenix e a Lenovo para corrigir as falhas.

Em abril, a Phoenix emitiu um aviso e a Lenovo começou a lançar novos firmwares em maio para resolver as vulnerabilidades em mais de 150 modelos diferentes.

É importante notar que nem todos os modelos têm firmware disponível neste momento, com muitos planejados para serem lançados mais tarde neste ano.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...