"); //-->
这个旧的但新披露的漏洞深埋在个人计算机、服务器和移动设备及其供应链中,使补救成为一项令人头疼的问题。
大量计算机可能会受到英特尔处理器中新发布的漏洞的影响。
不幸的是,CVE-2024-0762 的绰号为“UEFIcanhazbufferoverflow”,是一个缓冲区溢出问题,影响 Phoenix Technologies 的 SecureCore 统一可扩展固件接口 (UEFI) 固件的多个版本。供应商于 5 月首次披露,现在 Eclypsium 研究人员在一篇博客文章中对其进行了详细描述。
他们早在 11 月就首次发现了它,当时他们正在分析联想 ThinkPad X1 Carbon 第 7 代和 X1 Yoga 第 4 代笔记本电脑的 UEFI 图像。问题在于对 GetVariable() 运行时服务的不安全调用,该服务用于读取 UEFI 变量的内容。如果缺乏足够的检查,攻击者可能会向其提供过多的数据,从而导致溢出。从那里,攻击者可以通过在运行时在目标计算机中提升权限和执行代码来利用。
然而,比漏洞的严重性更糟糕的是它的传播。英特尔提供全球销售的大多数 PC 处理器,SecureCore 固件在 10 代不同的英特尔芯片上运行。Eclypsium估计,它可能会影响众多供应商的数百种PC型号。
与 UEFI 的摩擦
在机器中,很少有区域像 UEFI 及其前身 BIOS 那样,恶意攻击如此有效且难以消除。作为控制系统启动方式的固件接口,它是用户按下设备上的电源按钮后运行的第一个也是最特权的代码。
近年来,它的特殊地位吸引了广泛的攻击者,使他们能够获取根级权限,通过重新启动建立持久性,绕过可能捕获更多传统恶意软件的安全程序等等。
“这并不是最好的黑客入侵场所,但它是开店的好地方,”Eclypsium威胁研究和情报总监Nate Warfield解释道。
“如果你在计算机启动的那个阶段执行代码,你可以将一些东西放到引导扇区中。或者,您可以使用此载体在 Windows 启动之前将恶意软件注入 Windows。他指出,最近的CosmicStrand UEFI rootkit就是一个例子。这也是 UEFIcanhazbufferoverflow 如此危险的原因。
尽管如此,它在 CVSS 评分系统中只获得了 7.5 分(满分 10 分)的“高”分。沃菲尔德说,这归结为几个因素。
首先,它要求攻击者已经有权访问其目标计算机。
此外,与典型的标题漏洞不同,在这种情况下,可能需要根据目标计算机模型的配置以及分配给有问题的变量的权限在一定程度上自定义漏洞利用,从而为整个事件增加了一定程度的复杂性。
好消息和(更多)坏消息
不幸的是,同样的复杂性也延伸到开发补丁的供应商。
“我们发现的漏洞影响了一大堆不同版本的 [Phoenix] UEFI 代码。因此,他们必须为客户修补所有这些,现在每个人都必须去拉出这些补丁并将它们打包到所有版本的 BIOS 中,“Warfield 解释道。“他们最终可能不得不修复 10、15 或 20 个不同的微小差异(架构),因为这个支持这么多 GPU,这个支持主板的不同硬件配置。这是不可能知道的。
联想 - 最近几个月与研究人员协调 - 上个月开始发布修复程序,尽管一些计算机将一直暴露在夏季晚些时候。其他最近获悉的原始设备和设计制造商肯定需要更长的时间。与此同时,使用英特尔驱动的计算机的组织只能摆弄他们的拇指。
“简而言之,这就是整个供应链问题,”沃菲尔德说。“我们通知了供应商。我们必须等待他们告诉客户的原始设备制造商,他们必须打包他们的修复程序并将其交付给他们的客户,即最终用户。
作者:内特·尼尔森(Nate Nelson)是纽约市的自由撰稿人。他曾是 Threatpost 的记者,为许多网络安全博客和播客撰稿。
*博客内容为网友个人发布,仅代表博主个人观点,如有侵权请联系工作人员删除。