La empresa Eclypsium ha dado con una vulnerabilidad realmente grave, pero sobre todo, ampliamente extendida en cualquier firmware UEFI de la marca Phoenix SecureCore UEFI. Dicha vulnerabilidad, reportada con una puntuación de gravedad de 7,5 sobre 10, afecta al famoso TPM que, curiosamente, Microsoft puso como sistema de seguridad obligatorio para Windows 11. Por lo tanto, de nada vale lo que se intente mitigar por parte de los de Redmond, ya que esta vulnerabilidad ataca a lo más básico como es el firmware, en este caso de Phoenix, por lo que afecta a compañías como Intel, Lenovo o AMI o Insyde. Así es UEFICANHAZBUFFEROVERFLOW.
Siendo dos de los principales suministradores de firmwares principales, Lenovo y Phoenix fueron alertados en primer lugar sobre esta importante vulnerabilidad, pero dado el impacto y empresas con las que trabajan uno y otro, en el caso de Lenovo ya hay bastantes actualizaciones de BIOS disponibles, pero en el caso de Phoenix es más complejo, puesto que tiene que ofrecerlas a clientes tan importantes como Intel.
UEFICANHAZBUFFEROVERFLOW: la vulnerabilidad de firmware que afecta a Phoenix y deja a cientos de CPU Intel desprotegidas
La vulnerabilidad está catalogada como alto impacto y hace referencia al CVE-2024-0762 con un CVSS de 7,5 como hemos dicho antes. El problema está influenciado por una vulnerabilidad que ataca al TPM y que puede provocar un desbordamiento del búfer, donde el atacante tendría vía libre para ejecutar código malicioso a su antojo.
Sobra decir que si ataca al firmware Phoenix SecureCore UEFI, y por consiguiente a su versión de Lenovo, deja vendido a cualquier PC o servidor que lo implemente, así como portátiles. Hablamos de cientos de modelos de CPU. La investigación de Eclypsium se hizo con su software Eclypsium Automata, un sistema automatizado de análisis binario que dio como resultado que el código UEFI de la configuración de TPM es defectuosa.
No importa si es fTPM o si tienes un módulo TPM físico a modo de seguridad, está KO, está afectado. Lenovo admitió el problema de inmediato, Phoenix lo reconoció más tarde afirmando que afectaba a múltiples versiones de su SecureCore, y esto es lo realmente grave de este asunto por su impacto.
Desde los Core 6 hasta los últimos Core 14, Intel tendrá que lanzar nuevos firmware para cientos de CPU y placas base con sus socios
El problema es que hay tal cantidad de arquitecturas de Intel afectadas que realmente el impacto para mitigar esta vulnerabilidad será tremendo. Hablamos de las CPU Kaby Lake, Tiger Lake, Rocket Lake, Comet Lake, Ice Lake, Coffee Lake, Jasper Lake, Alder Lake, Raptor Lake y Meteor Lake, nada menos. En resumidas cuentas, desde la 6ª Gen hasta la 14ª Gen sin olvidar los nuevos Core Ultra 100.
Eclypsium explica el impacto de esta vulnerabilidad denominada como UEFICANHAZBUFFEROVERFLOW de la siguiente manera:
La posibilidad de explotación depende de la configuración y permiso asignado a la variable TCG2_CONFIGURATION, que puede ser diferente para cada plataforma.
La vulnerabilidad permite a un atacante local escalar privilegios y obtener la ejecución de código dentro del firmware UEFI durante el tiempo de ejecución. Este tipo de explotación de bajo nivel es típico de las puertas traseras de firmware (por ejemplo, BlackLotus) que se observan cada vez más.
Dichos implantes brindan a los atacantes persistencia continua dentro de un dispositivo y, a menudo, la capacidad de evadir medidas de seguridad de nivel superior que se ejecutan en el Sistema Operativo y las capas de software. Además, la manipulación del código de ejecución puede hacer que los ataques sean más difíciles de detectar mediante diversas mediciones del firmware.
Este tipo de ataque son tan dañinos precisamente porque les permiten asegurar su código malicioso antes de que sea detectado por cualquier software, se adelantan, subvierten las protecciones y herramientas de seguridad del sistema y los hace indetectables.
Por tanto, es de esperar que Phoenix e Intel estén trabajando desde hace tiempo en las mitigaciones de UEFICANHAZBUFFEROVERFLOW a modo de nuevo firmware, donde siendo un problema de TPM seguramente no se pierda rendimiento alguno, pero obligue a millones de PC con más de 7 años a actualizarse para estar protegidos.
El mayor problema es que se informa de que seguramente estén disponibles para final de año, tiempo que tienen los atacantes para seguir infectando equipos con código malicioso.
