Vulnérabilité UEFI CVE-2024-0762 affectant plusieurs processeurs Intel découverte par des chercheurs
Récemment, des chercheurs en cybersécurité ont révélé une faille de sécurité critique dans le micrologiciel Phoenix SecureCore UEFI, affectant plusieurs familles de processeurs Intel Core pour ordinateurs de bureau et mobiles. Cette vulnérabilité, identifiée comme CVE-2024-0762 avec un score CVSS de 7,5, a été nommée « UEFIcanhazbufferoverflow ». Il s'agit d'un problème de dépassement de tampon provoqué par l'utilisation d'une variable non sécurisée dans la configuration du Trusted Platform Module (TPM), permettant potentiellement l'exécution de code malveillant.
Eclypsium, une société de sécurité de la chaîne d'approvisionnement, a signalé que cette vulnérabilité permet aux attaquants locaux d'élever leurs privilèges et d'exécuter du code dans le micrologiciel UEFI pendant l'exécution. Ce type d’exploitation de bas niveau n’est pas sans rappeler les portes dérobées de firmware comme BlackLotus, qui sont de plus en plus observées dans la nature. De tels exploits accordent aux attaquants un accès persistant à un appareil, contournant souvent les mesures de sécurité de niveau supérieur dans les couches du système d'exploitation et des logiciels.
Phoenix Technologies a corrigé cette vulnérabilité en avril 2024 suite à une divulgation responsable. Lenovo a également publié des mises à jour corrigeant cette faille le mois dernier. Les appareils concernés incluent ceux qui utilisent le micrologiciel Phoenix SecureCore sur les familles de processeurs Intel telles que Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake et Tiger Lake.
L'UEFI (Unified Extensible Firmware Interface), le successeur du BIOS, est crucial pour l'initialisation des composants matériels et le chargement du système d'exploitation via le gestionnaire de démarrage lors du démarrage. L’UEFI étant le premier code exécuté avec les privilèges les plus élevés, il est devenu une cible privilégiée pour les acteurs malveillants souhaitant déployer des kits de démarrage et des implants de micrologiciels. Ces attaques peuvent contourner les mécanismes de sécurité et maintenir leur persistance sans détection.
Les vulnérabilités du micrologiciel UEFI posent un risque important pour la chaîne d'approvisionnement, affectant simultanément de nombreux produits et fournisseurs. Comme Eclypsium l'a noté, la compromission du micrologiciel UEFI peut accorder aux attaquants un contrôle total et une persistance sur les appareils concernés.
Ce développement fait suite à un autre rapport d'Eclypsium concernant une faille de dépassement de tampon non corrigée dans la mise en œuvre de l'UEFI de HP, affectant le HP ProBook 11 EE G1, qui a atteint son statut de fin de vie en septembre 2020. De plus, il y a eu une divulgation de une attaque logicielle nommée TPM GPIO Reset, que les attaquants pourraient exploiter pour accéder aux secrets stockés sur le disque par d'autres systèmes d'exploitation ou saper les contrôles protégés par TPM tels que le cryptage du disque ou les protections de démarrage.
Rester à jour avec les correctifs du micrologiciel et comprendre les implications de ces vulnérabilités est essentiel pour maintenir la sécurité des appareils informatiques modernes.