Vulnerabilità nel firmware Phoenix UEFI: i sistemi interessati dal problema

Un gruppo di ricercatori ha scoperto una seria vulnerabilità nel firmware UEFI Phoenix SecureCore: se sfruttata, può consentire ai criminali informatici di insediare un bootkit all'avvio del PC.

Le vulnerabilità che interessano il BIOS UEFI destano sempre un notevole interesse. In alcuni casi, infatti, possono essere sfruttate per scavalcare le protezioni in uso sul sistema, accedere ai dati memorizzati in forma cifrata e caricare codice arbitrario all’avvio del sistema. Il problema scoperto dai ricercatori di Eclypsium nel firmware UEFI Phoenix SecureCore (CVE-2024-0762) mette a rischio i dispositivi che utilizzano diversi modelli di processori Intel.

Il problema di sicurezza in questione, battezzato UEFICANHAZBUFFEROVERFLOW, deriva da un errore di buffer overflow che interessa la configurazione della funzionalità TPM (Trusted Platform Module) a livello di firmware e che potrebbe essere sfruttato per eseguire codice dannoso sui dispositivi vulnerabili.

Gli esperti di Eclypsium hanno inizialmente riscontrato la problematica sui dispositivi Lenovo ThinkPad X1 Carbon e X1 Yoga, rispettivamente di settima e quarta generazione. Tuttavia, dopo ulteriori verifiche con Phoenix, è emerso che i sistemi interessati sono molti di più ossia tutti quelli che utilizzano il firmware SecureCore con i processori Intel Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake e Tiger Lake.

Il BIOS UEFI come obiettivo di primo livello

La funzionalità Secure Boot si occupa di verificare che ciascun dispositivi avvii, al momento del boot, soltanto driver e software affidabili dotati di una firma digitale riconosciuta. Mentre tanti esperti preannunciano un “disastro Secure Boot“, dopo che Microsoft si sta organizzando per la sostituzione del certificato digitale storicamente utilizzato, i criminali informatici sono costantemente alla ricerca di soluzioni per creare bootkit efficaci.

I bootkit sono malware che interferiscono con il processo di avvio UEFI, ottengono un accesso di basso livello e sono molto difficili da rilevare. Abbiamo visto esempi di malware come BlackLotus, CosmicStrand e MosaicAggressor capaci di bypassare le difese di Secure Boot.

Eclypsium afferma che provocando un errori di buffer overflow nel sottosistema System Management Mode (SMM) del firmware Phoenix SecureCore, i criminali informatici possono sovrascrivere aree di memoria e acquisire privilegi sufficienti per eseguire codice arbitrario (con la possibilità di installare bootkit).

Se la memoria venisse sovrascritta con i dati corretti, un attaccante potrebbe potenzialmente elevare i privilegi e ottenere capacità di esecuzione del codice nel firmware per installare malware bootkit.

Lenovo sta già provvedendo a distribuire i nuovi aggiornamenti del firmware per i suoi dispositivi: la loro installazione è necessaria per evitare qualunque rischio di attacco. Come si legge nel report di Eclypsium, tuttavia, il problema può interessare tutti i produttori di dispositivi basati su firmware Phoenix SecureCore e CPU Intel.

Credit immagine in apertura: iStock.com – Just_Super

Ti consigliamo anche

Link copiato negli appunti