تأثیرگذاری آسیب‌پذیری Phoenix UEFI بر کامپیوترهای اینتل

آسیب‌پذیری امنیتی جدیدی در فریم‌ور Phoenix UEFI کشف شده است که از آن در بسیاری از کامپیوترهای شخصی اینتل سوءاستفاده می‌شود.

به‌گزارش تک‌ناک، آسیب‌پذیری امنیتی مهمی با شناسه CVE-2024-0762 در فریم‌ور Phoenix UEFI کشف شده است که روی دستگاه‌های مجهز به پردازنده‌های مختلف اینتل تأثیر می‌گذارد. این آسیب‌پذیری که با نام مستعار UEFICANHAZBUFFEROVERFLOW شناخته می‌شود، ناشی از سرریز بافر (Buffer Overflow) در بخش تنظیمات ماژول پلتفرم قابل‌اعتماد (TPM) فریم‌ور است. مهاجمان می‌توانند از این باگ برای اجرای کد دلخواه روی دستگاه‌های آسیب‌پذیر سوء‌استفاده کنند.

بلیپینگ‌کامپیوتر می‌نویسد که آسیب‌پذیری مذکور را شرکت Eclypsium کشف کرده است. در ابتدا آن‌ها این مشکل را روی لپ‌تاپ‌های نسل هفتم ThinkPad X1 Carbon و نسل چهارم X1 Yoga لنوو شناسایی کردند؛ اما بعداً با همکاری شرکت فونیکس تأیید شد که این آسیب‌پذیری روی فریم‌ور SecureCore پردازنده‌های نسل‌های Alder Lake و Coffee Lake و Comet Lake و Ice Lake و Jasper Lake و Kaby Lake و Meteor Lake و Raptor Lake و Rocket Lake و Tiger Lake اینتل نیز تأثیرگذار است.

با‌توجه‌به تعداد زیاد پردازنده‌های اینتل که از این فریم‌ور استفاده می‌کنند، آسیب‌پذیری یادشده می‌تواند صدها مدل از لپ‌تاپ‌ها و کامپیوترهای شرکت‌های لنوو، دل، ایسر و اچ‌پی را تحت‌تأثیر قرار دهد.

01
از 01
فریم‌ور UEFI هدفی ارزشمند برای حمله‌های سایبری

فریم‌ور UEFI نرم‌افزاری مهم و اساسی در کامپیوترهای جدید به‌شمار می‌رود. این فریم‌ور امن‌تر از گذشته در نظر گرفته می‌شود؛ زیرا از قابلیت راه‌اندازی امن (Secure Boot) پشتیبانی می‌کند.

راه‌اندازی امن قابلیتی است که در تمامی نسخه‌های جدید سیستم‌عامل‌های ویندوز و مک‌او‌اس و لینوکس وجود دارد. این قابلیت به‌صورت رمزنگاری‌شده تأیید می‌کند که دستگاه فقط با استفاده از درایورها و نرم‌افزارهای معتبر راه‌اندازی شود و در‌صورت تشخیص نرم‌افزار مخرب، فرایند راه‌اندازی را متوقف می‌کند.

با‌توجه‌به اینکه قابلیت راه‌اندازی امن (Secure Boot) کار نصب Persistent Boot Malware و درایورهای مخرب را برای هکرها بسیار دشوار می‌کند، آسیب‌پذیری‌های UEFI بیش‌ازپیش برای ساخت بدافزارهایی به نام بوت‌کیت را هدف قرار می‌گیرند.

بوت‌کیت‌ها بدافزارهایی هستند که در مراحل اولیه‌ی فرایند راه‌اندازی UEFI بارگذاری می‌شوند و به برنامه‌های مخرب امکان می‌دهند تا دسترسی سطح پایین به عملکرد سیستم داشته باشند. همین موضوع باعث می‌شود تا شناسایی آن‌ها بسیار دشوار شود؛ همان‌طور‌که در بدافزارهای UEFI مانند BlackLotus و CosmicStrand و MosaicAggressor شاهد بوده‌ایم.

شرکت Eclypsium گزارش می‌دهد که ضعف امنیتی کشف‌شده سرریز بافر در زیرسیستم حالت مدیریت سیستم (SMM) فریم‌ور Phoenix SecureCore است. این باگ به مهاجمان امکان می‌دهد تا به‌طور بالقوه حافظه‌ی مجاور را با داده‌های مخرب بازنویسی کنند. اگر این حافظه با داده‌های صحیح بازنویسی شود، مهاجم بالقوه می‌تواند سطح دسترسی خود را در فریم‌ور افزایش دهد و توانایی اجرای کد را به‌دست آورد تا بدافزار بوت‌کیت را نصب کند.