最近发现的漏洞 CVE-2024-0762,被称为“UEFIcanhazbufferoverflow”,最近在 Phoenix SecureCore UEFI 固件中曝光,影响了各种 Intel Core 台式机和移动处理器。网络安全研究人员披露的 UEFIcanhazbufferoverflow 漏洞暴露了可信平台模块 (TPM) 配置中的关键缓冲区溢出问题,可能允许恶意行为者执行未经授权的代码。
专注于供应链安全的公司 Eclypsium 通过其自动二进制分析系统 Eclypsium Automata 发现了该漏洞。他们报告称,该漏洞可在本地利用,以提升权限并在运行时获得对 UEFI 固件的控制权。这种利用绕过了更高级别的安全措施,因此对于受影响的设备来说尤其令人担忧。
解码 UEFIcanhazbufferoverflow 漏洞及其影响
受影响的 Phoenix SecureCore UEFI 固件用于多代英特尔酷睿处理器,包括 AlderLake、CoffeeLake、CometLake、IceLake、JasperLake、KabyLake、MeteorLake、RaptorLake、RocketLake 和 TigerLake。鉴于各种 OEM 广泛采用这些处理器,UEFIcanhazbufferoverflow 漏洞可能会影响市场上的多种 PC 产品。
据Eclypsium 研究人员称,该漏洞是由于 TPM 配置中不安全的变量处理引起的,具体与 TCG2_CONFIGURATION 变量有关。这种疏忽可能导致发生缓冲区溢出的情况,从而方便攻击者执行任意代码。
针对这一披露,Phoenix Technologies 立即将CVE-2024-0762分配给 UEFIcanhazbufferoverflow 漏洞,并于 2024 年 5 月 14 日发布补丁以缓解该问题。该漏洞的严重性反映在其 CVSS 评分为 7.5,表明其为高风险威胁。
UEFI 架构安全的重要性
从实际角度来看,利用“UEFIcanhazbufferoverflow”等 UEFI 固件漏洞凸显了固件在设备安全中的关键作用。UEFI 架构是初始化硬件和管理系统运行时操作的基础软件,因此成为寻求持久访问和控制的攻击者的首要目标。
此次事件还凸显了供应链安全面临的挑战,上游组件的漏洞可能会对多个供应商和产品产生连锁影响。因此,建议组织利用全面的扫描工具来识别受影响的设备,并及时应用供应商提供的固件更新。
对于依赖固件可能受到影响的设备的企业,主动措施包括部署解决方案以持续监控和评估设备完整性。这种方法有助于降低与旧设备相关的 风险,并确保持续防止主动利用基于固件的漏洞。
发表评论
您还未登录,请先登录。
登录