
Une vulnérabilité nouvellement découverte dans le micrologiciel UEFI de Phoenix SecureCore suivie comme CVE-2024-0762 affecte les appareils exécutant de nombreux processeurs Intel, Lenovo publiant déjà de nouvelles mises à jour du micrologiciel pour résoudre la faille.
La vulnérabilité, baptisée « UEFICANHAZBUFFEROVERFLOW » , est un bogue de débordement de tampon dans la configuration du Module de plateforme sécurisée (TPM) du micrologiciel qui pourrait être exploité pour exécuter du code sur des périphériques vulnérables.
La faille a été découverte par Eclypsium, qui l’a identifiée sur les appareils Lenovo ThinkPad X1 Carbon 7e génération et X1 Yoga 4e génération, mais a confirmé plus tard avec Phoenix qu’elle affectait également le micrologiciel SecureCore pour les processeurs Intel Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake et Tiger Lake.
En raison du grand nombre de processeurs Intel utilisant ce micrologiciel, la vulnérabilité pourrait avoir un impact sur des centaines de modèles de Lenovo, Dell, Acer et HP.
Le micrologiciel UEFI est une cible précieuse
Le micrologiciel UEFI est considéré comme plus sécurisé car il inclut le démarrage sécurisé, qui est pris en charge par tous les systèmes d’exploitation modernes, y compris Windows, macOS et Linux. Le démarrage sécurisé confirme cryptographiquement qu’un périphérique est démarré uniquement à l’aide de pilotes et de logiciels de confiance, bloquant le processus de démarrage s’il détecte un logiciel malveillant.
Comme le démarrage sécurisé rend beaucoup plus difficile pour les acteurs de la menace d’installer des logiciels malveillants et des pilotes de démarrage persistants, les bogues UEFI sont de plus en plus ciblés pour créer des logiciels malveillants appelés kits de démarrage.
Les kits de démarrage sont des logiciels malveillants qui se chargent très tôt dans le processus de démarrage UEFI, donnant aux programmes malveillants un accès de bas niveau à l’opération et les rendant très difficiles à détecter, comme nous l’avons vu avec les logiciels malveillants UEFI BlackLotus, CosmicStrand et MosaicAggressor.
Eclypsium dit que le bogue qu’ils ont trouvé réside dans un débordement de tampon dans le sous-système du mode de gestion du système (SMM) du micrologiciel Phoenix SecureCore, permettant aux attaquants d’écraser potentiellement la mémoire adjacente.
Si la mémoire était écrasée avec les données correctes, un attaquant pourrait potentiellement élever les privilèges et acquérir des capacités d’exécution de code dans le micrologiciel pour installer des logiciels malveillants bootkit.
« Le problème concerne une variable non sécurisée dans la configuration du Module de plateforme sécurisée (TPM) qui pourrait entraîner un débordement de tampon et une éventuelle exécution de code malveillant », prévient Eclypsium.
« Pour être clair, cette vulnérabilité réside dans la configuration du TPM de gestion du code UEFI—en d’autres termes, peu importe que vous disposiez d’une puce de sécurité comme un TPM si le code sous-jacent est défectueux. »
Après avoir découvert le bogue, Eclypsium a coordonné une divulgation avec Phoenix et Lenovo pour corriger les failles.
En avril, Phoenix a émis un avis et Lenovo a commencé à publier un nouveau micrologiciel en mai pour résoudre les vulnérabilités de plus de 150 modèles différents. Il est important de noter que tous les modèles n’ont pas de micrologiciel disponible pour le moment, et beaucoup sont prévus pour plus tard cette année.