Een nieuw ontdekte kwetsbaarheid in Phoenix SecureCore UEFI-firmware, gevolgd als CVE-2024-0762, heeft invloed op apparaten die talrijke Intel-CPU’s gebruiken, waarbij Lenovo al nieuwe firmware-updates heeft uitgebracht om het probleem op te lossen.

De kwetsbaarheid, genaamd ‘UEFICANHAZBUFFEROVERFLOW,’ is een buffer overflow-fout in de Trusted Platform Module (TPM) configuratie van de firmware die kan worden misbruikt om code-uitvoering op kwetsbare apparaten uit te voeren.

De fout werd ontdekt door Eclypsium, die het identificeerde op Lenovo ThinkPad X1 Carbon 7e generatie en X1 Yoga 4e generatie apparaten, maar later met Phoenix bevestigde dat het de SecureCore-firmware voor Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake en Tiger Lake Intel-CPU’s ook beïnvloedt.

Vanwege het grote aantal Intel-CPU’s dat deze firmware gebruikt, kan de kwetsbaarheid impact hebben op honderden modellen van Lenovo, Dell, Acer en HP.

UEFI-firmware is een waardevol doelwit

UEFI-firmware wordt als veiliger beschouwd omdat het Secure Boot bevat, dat wordt ondersteund door alle moderne besturingssystemen, waaronder Windows, macOS en Linux. Secure Boot bevestigt cryptografisch dat een apparaat alleen is opgestart met vertrouwde stuurprogramma’s en software en blokkeert het opstartproces als het kwaadaardige software detecteert.

Aangezien Secure Boot het veel moeilijker maakt voor kwaadaardige actoren om persistente opstartmalware en stuurprogramma’s te installeren, worden UEFI-fouten steeds meer gericht om malware te creëren die zogenaamde bootkits worden genoemd.

Bootkits zijn malware die zeer vroeg in het UEFI-opstartproces worden geladen, waardoor de kwaadaardige programma’s laag-niveau toegang krijgen tot de werking en ze zeer moeilijk te detecteren zijn zoals we zagen bij de BlackLotus, CosmicStrand en MosaicAggressor UEFI-malware.

Eclypsium zegt dat de bug die zij vonden ligt in een buffer overflow binnen het System Management Mode (SMM) subsysteem van Phoenix SecureCore firmware, waardoor aanvallers mogelijk aangrenzend geheugen kunnen overschrijven.

Als het geheugen werd overschreven met de juiste gegevens, zou een aanvaller mogelijk privileges kunnen verhogen en code-uitvoeringsmogelijkheden in de firmware kunnen krijgen om bootkit malware te installeren.

“Het probleem betreft een onveilige variabele in de Trusted Platform Module (TPM) configuratie die kan leiden tot een buffer overflow en mogelijke kwaadaardige code-uitvoering,” waarschuwt Eclypsium.

“Om duidelijk te zijn, deze kwetsbaarheid ligt in de UEFI-code die TPM-configuratie afhandelt – met andere woorden, het maakt niet uit of je een beveiligingschip zoals een TPM hebt als de onderliggende code gebrekkig is.”

Na het ontdekken van de bug coördineerde Eclypsium een bekendmaking met Phoenix en Lenovo om de fouten te herstellen.

In april gaf Phoenix een advies uit en begon Lenovo in mei nieuwe firmware uit te brengen om de kwetsbaarheden in meer dan 150 verschillende modellen op te lossen. Het is belangrijk op te merken dat niet alle modellen op dit moment beschikbare firmware hebben; veel worden later dit jaar verwacht.