I ricercatori di Eclypsium hanno scoperto una vulnerabilità nel firmware UEFI Phoenix SecueCore usata dalle schede madri per processori Intel. Il problema è piuttosto grave, in quanto consente di aggirare la funzionalità Secure Boot ed eseguire codice arbitrario sui dispositivi. Al momento solo Lenovo ha rilasciato un aggiornamento.
Pericolo bootkit per milioni di PC
La vulnerabilità, indicata con CVE-2024-0762 e presente nella configurazione TPM del firmware, è un bug di tipo buffer overflow. Per questo motivo, i ricercatori ha scelto il nome UEFICANHAZBUFFEROVERFLOW. Il problema era stato scoperto inizialmente sui Lenovo ThinkPad X1 Carbon (settima generazione) e X1 Yoga (quarta generazione), ma Phoenix Technology ha confermato che riguarda tutti i firmware SecureCore per i processori Intel Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake e Tiger Lake.
Secure Boot permette di bloccare l’esecuzione di software e driver pericolosi all’avvio del computer, sfruttando la crittografia (le chiavi sono conservate nel chip TPM). È un requisito obbligatorio per l’installazione di Windows 11 (se non vengono usati tool che disattivano la verifica, come Rufus).
A causa del buffer overflow è possibile aggirare il Secure Boot ed eseguire codice arbitrario nel firmware. Si tratta del tipo di exploit sfruttato da molti bootkit, tra cui BlackLotus, CosmicStrand e MosaicAggressor, che sono difficili da rilevare e da rimuovere, quindi i cybercriminali possono mantenere la persistenza sul dispositivo compromesso.
Gli utenti devono quindi verificare la disponibilità di nuovi firmware sui siti dei produttori. L’elenco di quelli vulnerabili è presente in questa pagina.