Una nueva y preocupante vulnerabilidad ha sido descubierta en los firmware UEFI de Phoenix SecureCore, que afecta a una vasta gama de CPU Intel, desde la 6ª hasta la 14ª generación. Esta vulnerabilidad, denominada UEFICANHAZBUFFEROVERFLOW y registrada bajo el CVE-2024-0762, ha sido evaluada con una puntuación de gravedad de 7,5 sobre 10. La empresa Eclypsium, especializada en seguridad de firmware y hardware, fue la encargada de identificar y reportar este grave fallo.
Desglose de la Vulnerabilidad
La vulnerabilidad UEFICANHAZBUFFEROVERFLOW afecta específicamente a la configuración del Trusted Platform Module (TPM) en el firmware UEFI de Phoenix. El TPM es un componente crítico para la seguridad en sistemas modernos, especialmente aquellos que ejecutan Windows 11, donde Microsoft lo ha establecido como un requisito obligatorio. La vulnerabilidad permite a los atacantes explotar un desbordamiento de búfer, lo que les otorga la capacidad de ejecutar código malicioso directamente en el firmware. Esta capacidad de explotación a nivel de firmware es particularmente peligrosa, ya que puede permitir a los atacantes evadir las medidas de seguridad del sistema operativo y mantener una presencia persistente en el dispositivo.
Impacto Amplio y Extendido
El alcance de esta vulnerabilidad es considerable, afectando a un gran número de dispositivos y fabricantes. Phoenix y Lenovo, dos de los principales proveedores de firmware UEFI, fueron los primeros en ser notificados de esta vulnerabilidad. Lenovo ha reaccionado rápidamente, emitiendo actualizaciones de BIOS para mitigar el problema en sus dispositivos. Sin embargo, Phoenix enfrenta un desafío mayor debido a su amplia base de clientes, que incluye grandes nombres como Intel.
Eclypsium utilizó su software Automata para realizar un análisis binario automatizado, descubriendo que la configuración de TPM en el firmware UEFI era defectuosa. Este defecto deja a millones de dispositivos, desde PCs de escritorio hasta servidores y portátiles, expuestos a posibles ataques.
Afectación a Generaciones de CPU Intel
La lista de CPU Intel afectadas por esta vulnerabilidad es extensa e incluye:
- Kaby Lake
- Tiger Lake
- Rocket Lake
- Comet Lake
- Ice Lake
- Coffee Lake
- Jasper Lake
- Alder Lake
- Raptor Lake
- Meteor Lake
En resumen, todas las generaciones de CPU Intel desde la 6ª hasta la 14ª, incluyendo los nuevos Core Ultra 100, están en riesgo. Esta vulnerabilidad permite a los atacantes locales escalar privilegios y ejecutar código en el firmware UEFI, ofreciendo persistencia continua y evadiendo las medidas de seguridad de nivel superior.
Detalles Técnicos de la Vulnerabilidad
La vulnerabilidad UEFICANHAZBUFFEROVERFLOW se centra en la configuración y los permisos asignados a la variable TCG2_CONFIGURATION, que puede variar entre diferentes plataformas. Eclypsium explica el impacto de esta vulnerabilidad de la siguiente manera:
- Escalado de Privilegios: Permite a un atacante local escalar privilegios y obtener la ejecución de código dentro del firmware UEFI durante el tiempo de ejecución.
- Persistencia y Evasión: Ofrece persistencia continua dentro de un dispositivo y la capacidad de evadir las medidas de seguridad del sistema operativo y las capas de software.
- Dificultad de Detección: La manipulación del código de ejecución puede hacer que los ataques sean más difíciles de detectar mediante las diversas mediciones del firmware.
Este tipo de explotación a nivel de firmware es similar a las puertas traseras de firmware, como BlackLotus, que se observan cada vez más en ataques sofisticados. Estos implantes permiten a los atacantes mantener un control sobre el dispositivo y evadir las medidas de seguridad tradicionales.
Respuesta y Mitigación
Phoenix e Intel están trabajando activamente en desarrollar nuevas actualizaciones de firmware para abordar esta vulnerabilidad. Sin embargo, el impacto de esta vulnerabilidad es tan amplio que la mitigación completa requerirá tiempo y esfuerzo considerable. Se espera que las actualizaciones estén disponibles para finales de año, lo que deja una ventana considerable para que los atacantes puedan explotar esta vulnerabilidad.
Lenovo ha tomado medidas rápidas al emitir actualizaciones de BIOS para sus dispositivos, pero la situación es más compleja para Phoenix debido a la variedad y cantidad de dispositivos afectados. Phoenix ha reconocido el problema y está trabajando en colaboración con sus socios para desarrollar y distribuir las actualizaciones necesarias.
Recomendaciones para los Usuarios
Para los usuarios y administradores de sistemas afectados por esta vulnerabilidad, es crucial mantenerse informados y aplicar las actualizaciones de firmware tan pronto como estén disponibles. Además, se recomienda implementar medidas de seguridad adicionales, como el monitoreo continuo de la integridad del firmware y la adopción de prácticas de seguridad avanzadas para minimizar el riesgo de explotación.
La vulnerabilidad UEFICANHAZBUFFEROVERFLOW representa una amenaza significativa para una amplia gama de dispositivos Intel. Con la colaboración de empresas como Phoenix, Lenovo e Intel, es crucial que los usuarios estén atentos a las actualizaciones de firmware y las apliquen tan pronto como estén disponibles para asegurar la protección de sus sistemas. Esta situación subraya la importancia de la seguridad en el nivel de firmware y la necesidad de respuestas rápidas y efectivas ante las vulnerabilidades descubiertas.