آسیبپذیری امنیتی جدیدی در فریمور Phoenix UEFI کشف شده است که از آن در بسیاری از کامپیوترهای شخصی اینتل سوءاستفاده میشود.
بهگزارش تکناک، آسیبپذیری امنیتی مهمی با شناسه CVE-2024-0762 در فریمور Phoenix UEFI کشف شده است که روی دستگاههای مجهز به پردازندههای مختلف اینتل تأثیر میگذارد. این آسیبپذیری که با نام مستعار UEFICANHAZBUFFEROVERFLOW شناخته میشود، ناشی از سرریز بافر (Buffer Overflow) در بخش تنظیمات ماژول پلتفرم قابلاعتماد (TPM) فریمور است. مهاجمان میتوانند از این باگ برای اجرای کد دلخواه روی دستگاههای آسیبپذیر سوءاستفاده کنند.
بلیپینگکامپیوتر مینویسد که آسیبپذیری مذکور را شرکت Eclypsium کشف کرده است. در ابتدا آنها این مشکل را روی لپتاپهای نسل هفتم ThinkPad X1 Carbon و نسل چهارم X1 Yoga لنوو شناسایی کردند؛ اما بعداً با همکاری شرکت فونیکس تأیید شد که این آسیبپذیری روی فریمور SecureCore پردازندههای نسلهای Alder Lake و Coffee Lake و Comet Lake و Ice Lake و Jasper Lake و Kaby Lake و Meteor Lake و Raptor Lake و Rocket Lake و Tiger Lake اینتل نیز تأثیرگذار است.
باتوجهبه تعداد زیاد پردازندههای اینتل که از این فریمور استفاده میکنند، آسیبپذیری یادشده میتواند صدها مدل از لپتاپها و کامپیوترهای شرکتهای لنوو، دل، ایسر و اچپی را تحتتأثیر قرار دهد.
فریمور UEFI هدفی ارزشمند برای حملههای سایبری
فریمور UEFI نرمافزاری مهم و اساسی در کامپیوترهای جدید بهشمار میرود. این فریمور امنتر از گذشته در نظر گرفته میشود؛ زیرا از قابلیت راهاندازی امن (Secure Boot) پشتیبانی میکند.
راهاندازی امن قابلیتی است که در تمامی نسخههای جدید سیستمعاملهای ویندوز و مکاواس و لینوکس وجود دارد. این قابلیت بهصورت رمزنگاریشده تأیید میکند که دستگاه فقط با استفاده از درایورها و نرمافزارهای معتبر راهاندازی شود و درصورت تشخیص نرمافزار مخرب، فرایند راهاندازی را متوقف میکند.
باتوجهبه اینکه قابلیت راهاندازی امن (Secure Boot) کار نصب Persistent Boot Malware و درایورهای مخرب را برای هکرها بسیار دشوار میکند، آسیبپذیریهای UEFI بیشازپیش برای ساخت بدافزارهایی به نام بوتکیت را هدف قرار میگیرند.
بوتکیتها بدافزارهایی هستند که در مراحل اولیهی فرایند راهاندازی UEFI بارگذاری میشوند و به برنامههای مخرب امکان میدهند تا دسترسی سطح پایین به عملکرد سیستم داشته باشند. همین موضوع باعث میشود تا شناسایی آنها بسیار دشوار شود؛ همانطورکه در بدافزارهای UEFI مانند BlackLotus و CosmicStrand و MosaicAggressor شاهد بودهایم.
شرکت Eclypsium گزارش میدهد که ضعف امنیتی کشفشده سرریز بافر در زیرسیستم حالت مدیریت سیستم (SMM) فریمور Phoenix SecureCore است. این باگ به مهاجمان امکان میدهد تا بهطور بالقوه حافظهی مجاور را با دادههای مخرب بازنویسی کنند. اگر این حافظه با دادههای صحیح بازنویسی شود، مهاجم بالقوه میتواند سطح دسترسی خود را در فریمور افزایش دهد و توانایی اجرای کد را بهدست آورد تا بدافزار بوتکیت را نصب کند.
