英特尔处理器中的一个新漏洞——CVE-2024-0762,别名“UEFIcanhazbufferoverflow”——可能会影响大量计算机。该漏洞是一个缓冲区溢出问题,影响 Phoenix Technologies 的 SecureCore 统一可扩展固件接口 (UEFI) 固件的多个版本。Phoenix Technologies 于今年5月首次披露了该问题,Eclypsium 的研究人员在最近的一篇博客文章中对此进行了详细描述。
Eclypsium 研究人员在去年11月首次发现该漏洞,当时他们正在分析联想 ThinkPad X1 Carbon 第7代和 X1 Yoga 第4代笔记本电脑中的 UEFI 映像。问题出在对 GetVariable() 运行时服务的不安全调用上,该服务用于读取 UEFI 变量的内容。由于缺乏足够的检查,攻击者可以向其输入过多数据,从而导致溢出,并利用漏洞通过提升权限在目标机器中执行代码。
更令人担忧的是,该漏洞的影响范围极广。英特尔供应全球大多数 PC 处理器,而 SecureCore 固件运行在 10 代不同的英特尔芯片上。Eclypsium 估计,可能会有数百种 PC 型号受到影响。
UEFI 是机器中极少数能受到恶意攻击并难以消除的区域之一。作为控制系统启动方式的固件接口,它在用户按下设备上的电源按钮后运行,是第一个也是最高权限的代码。近年来,UEFI 吸引了大量攻击者,使其能够获取 root 级权限、通过重启建立持久性、绕过安全程序等。
Eclypsium 的威胁研究和情报主管 Nate Warfield 解释说,UEFI 的特殊地位使其成为理想的攻击目标。一旦在计算机启动阶段执行代码,就可以将恶意软件注入引导扇区或在 Windows 启动之前植入。
尽管如此,UEFIcanhazbufferoverflow 在 CVSS 评分系统中只获得了 7.5 分(满分 10 分)。这主要是因为它要求攻击者已经可以访问目标机器。此外,漏洞利用可能需要根据目标计算机型号的配置进行定制,这增加了复杂性。
补丁开发也面临挑战。Warfield 解释说,该漏洞影响了 Phoenix UEFI 代码的多个版本,供应商必须为所有这些版本修补漏洞。由于不同版本支持不同的硬件配置,修补工作变得更加复杂。
联想最近几个月与研究人员合作,并于上个月开始发布修复程序,但部分计算机仍将在今年夏末前暴露在漏洞之下。其他厂商可能需要更长时间来修复。在此期间,使用英特尔芯片计算机的组织只能无所作为。
