英特爾芯片中的高風(fēng)險溢出錯誤可能會(huì )影響100 多款 PC 型號

這個(gè)舊的但新披露的漏洞深埋在個(gè)人計算機、服務(wù)器和移動(dòng)設備及其供應鏈中，使補救成為一項令人頭疼的問(wèn)題。

大量計算機可能會(huì )受到英特爾處理器中新發(fā)布的漏洞的影響。

不幸的是，CVE-2024-0762 的綽號為“UEFIcanhazbufferoverflow”，是一個(gè)緩沖區溢出問(wèn)題，影響 Phoenix Technologies 的 SecureCore 統一可擴展固件接口 （UEFI） 固件的多個(gè)版本。供應商于 5 月首次披露，現在 Eclypsium 研究人員在一篇博客文章中對其進(jìn)行了詳細描述。

他們早在 11 月就首次發(fā)現了它，當時(shí)他們正在分析聯(lián)想 ThinkPad X1 Carbon 第 7 代和 X1 Yoga 第 4 代筆記本電腦的 UEFI 圖像。問(wèn)題在于對 GetVariable（） 運行時(shí)服務(wù)的不安全調用，該服務(wù)用于讀取 UEFI 變量的內容。如果缺乏足夠的檢查，攻擊者可能會(huì )向其提供過(guò)多的數據，從而導致溢出。從那里，攻擊者可以通過(guò)在運行時(shí)在目標計算機中提升權限和執行代碼來(lái)利用。

然而，比漏洞的嚴重性更糟糕的是它的傳播。英特爾提供全球銷(xiāo)售的大多數 PC 處理器，SecureCore 固件在 10 代不同的英特爾芯片上運行。Eclypsium估計，它可能會(huì )影響眾多供應商的數百種PC型號。

與 UEFI 的摩擦
在機器中，很少有區域像 UEFI 及其前身 BIOS 那樣，惡意攻擊如此有效且難以消除。作為控制系統啟動(dòng)方式的固件接口，它是用戶(hù)按下設備上的電源按鈕后運行的第一個(gè)也是最特權的代碼。

近年來(lái)，它的特殊地位吸引了廣泛的攻擊者，使他們能夠獲取根級權限，通過(guò)重新啟動(dòng)建立持久性，繞過(guò)可能捕獲更多傳統惡意軟件的安全程序等等。

“這并不是最好的黑客入侵場(chǎng)所，但它是開(kāi)店的好地方，”Eclypsium威脅研究和情報總監Nate Warfield解釋道。

“如果你在計算機啟動(dòng)的那個(gè)階段執行代碼，你可以將一些東西放到引導扇區中?；蛘?，您可以使用此載體在 Windows 啟動(dòng)之前將惡意軟件注入 Windows。他指出，最近的CosmicStrand UEFI rootkit就是一個(gè)例子。這也是 UEFIcanhazbufferoverflow 如此危險的原因。

盡管如此，它在 CVSS 評分系統中只獲得了 7.5 分（滿(mǎn)分 10 分）的“高”分。沃菲爾德說(shuō)，這歸結為幾個(gè)因素。

首先，它要求攻擊者已經(jīng)有權訪(fǎng)問(wèn)其目標計算機。

此外，與典型的標題漏洞不同，在這種情況下，可能需要根據目標計算機模型的配置以及分配給有問(wèn)題的變量的權限在一定程度上自定義漏洞利用，從而為整個(gè)事件增加了一定程度的復雜性。

好消息和（更多）壞消息
不幸的是，同樣的復雜性也延伸到開(kāi)發(fā)補丁的供應商。

“我們發(fā)現的漏洞影響了一大堆不同版本的 [Phoenix] UEFI 代碼。因此，他們必須為客戶(hù)修補所有這些，現在每個(gè)人都必須去拉出這些補丁并將它們打包到所有版本的 BIOS 中，“Warfield 解釋道?！八麄冏罱K可能不得不修復 10、15 或 20 個(gè)不同的微小差異（架構），因為這個(gè)支持這么多 GPU，這個(gè)支持主板的不同硬件配置。這是不可能知道的。

聯(lián)想 - 最近幾個(gè)月與研究人員協(xié)調 - 上個(gè)月開(kāi)始發(fā)布修復程序，盡管一些計算機將一直暴露在夏季晚些時(shí)候。其他最近獲悉的原始設備和設計制造商肯定需要更長(cháng)的時(shí)間。與此同時(shí)，使用英特爾驅動(dòng)的計算機的組織只能擺弄他們的拇指。

“簡(jiǎn)而言之，這就是整個(gè)供應鏈問(wèn)題，”沃菲爾德說(shuō)?！拔覀兺ㄖ斯?。我們必須等待他們告訴客戶(hù)的原始設備制造商，他們必須打包他們的修復程序并將其交付給他們的客戶(hù)，即最終用戶(hù)。

作者：內特·尼爾森（Nate Nelson）是紐約市的自由撰稿人。他曾是 Threatpost 的記者，為許多網(wǎng)絡(luò )安全博客和播客撰稿。