【安全圈】Phoenix UEFI 固件曝出严重漏洞，数百款英特尔 PC受影响

关键词

Phoenix SecureCore UEFI 固件中新发现一个漏洞被追踪为 CVE-2024-0762，该漏洞会影响运行多种英特尔 CPU 的设备，目前联想已经发布了新的固件更新以解决该漏洞。

该漏洞被称为 "UEFICANHAZBUFFEROVERFLOW"，是固件的可信平台模块（TPM）配置中的一个缓冲区溢出漏洞，可被利用在易受攻击的设备上执行代码。

该漏洞由 Eclypsium 发现，他们在联想 ThinkPad X1 Carbon 第 7 代和 X1 Yoga 第 4 代设备上发现了该漏洞，但后来向凤凰科技证实，该漏洞也影响到 Alder Lake、Coffee Lake、Comet Lake、Ice Lake、Jasper Lake、Kaby Lake、Meteor Lake、Raptor Lake、Rocket Lake 和 Tiger Lake 英特尔 CPU 的 SecureCore 固件。

由于大量英特尔 CPU 使用该固件，因此该漏洞有可能影响联想、戴尔、宏碁和惠普的数百款机型。

UEFI 固件是一个有价值的攻击目标

UEFI 固件被认为是更安全的固件，因为它包括安全启动，所有现代操作系统（包括 Windows、macOS 和 Linux）都支持安全启动。安全启动以加密方式确认设备仅使用受信任的驱动程序和软件启动，如果检测到恶意软件，则会阻止启动过程。

由于安全启动使威胁行为者更难安装持久性启动恶意软件和驱动程序，因此UEFI Bug 越来越多地成为创建名为 Bootkits 的恶意软件的目标。

Bootkits 是一种在 UEFI 启动过程早期加载的恶意软件，可让恶意程序获得低级操作权限，从而使其很难被检测到，如我们看到的 BlackLotus、CosmicStrand 和 MosaicAggressor UEFI 恶意软件。

Eclypsium称，他们发现的漏洞是Phoenix SecureCore固件的系统管理模式（SMM）子系统中的缓冲区溢出，允许攻击者覆盖相邻内存。

如果用正确的数据覆盖内存，攻击者就有可能提升权限，获得固件中的代码执行能力，从而安装引导工具包恶意软件。

Eclypsium警告称：该问题涉及可信平台模块（TPM）配置中的一个不安全变量，可能导致缓冲区溢出和潜在的恶意代码执行。

简单来说，就是这个漏洞存在于处理 TPM 配置的 UEFI 代码中，如果底层代码存在缺陷，有没有 TPM 这样的安全芯片并不重要。

今年 4 月，Phoenix 发布了一份公告，联想也于 5 月开始发布新固件，以解决 150 多种不同机型的漏洞问题。值得注意的是，目前并非所有机型都有可用固件，许多机型计划在今年晚些时候推出。