È stata ribattezzata “UEFICANHAZBUFFEROVERFLOW” la vulnerabilità scoperta dai ricercatori di sicurezza di Eclypsium nel firmware SecureCore UEFI di Phoenix Technologies installato in diverse famiglie di processori Intel Core per desktop e dispositivi mobili: un suo eventuale sfruttamento potrebbe consentire agli attori delle minacce di eseguire codice dannoso sui dispositivi esposti e prenderne il controllo.
La vulnerabilità è stata inizialmente identificata nei computer Lenovo ThinkPad X1 Carbon 7th Gen e X1 Yoga 4th Gen, ma successive analisi hanno confermato un possibile impatto anche sui firmware SecureCore delle CPU Intel Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake e Tiger Lake.
Il problema di sicurezza potrebbe, quindi, interessare centinaia di sistemi prodotti da Lenovo, Dell, Acer e HP. Lenovo, in particolare, ha già rilasciato la patch, ma anche gli altri produttori sono in procinto di pubblicare i rispettivi aggiornamenti per i lori dispositivi.
Indice degli argomenti
Vulnerabilità nell’UEFI di Phoenix: i dettagli
Tracciata come CVE-2024-0762 (e classificata con punteggio CVSS di 7,5 su 10), la vulnerabilità è causata da un utilizzo non sicuro di una variabile nella configurazione del chip Trusted Platform Module (TPM) delle CPU Intel.
Un suo sfruttamento potrebbe consentire a un aggressore locale di scalare i privilegi ed eseguire codice all’interno del firmware UEFI durante l’esecuzione.
“La vulnerabilità in questione sfrutta un buffer overflow nel firmware UEFI, che è una componente critica del processo di avvio dei computer”, sottolinea Andrea D’Ubaldo, Red Team Operator di Tinexta Cyber. “Questo tipo di vulnerabilità consente agli attaccanti di eseguire codice arbitrario durante l’avvio del sistema. In pratica, possono bypassare le protezioni di sicurezza che entrano in gioco a livello del sistema operativo. Una vulnerabilità come questa può avere un impatto importante sul nostro ecosistema digitale”.
In particolare, il bug è presente all’interno del sottosistema System Management Mode (SMM) del SecureCore di Phoenix e consente agli aggressori di sovrascrivere la memoria del firmware. È questo che potrebbe consentire all’aggressore di elevare i privilegi e ottenere l’esecuzione di codice per installare un malware bootkit.
Come si legge nell’analisi dei ricercatori di Eclypsium, “questo tipo di sfruttamento della vulnerabilità a basso livello è tipico delle backdoor del firmware (come, ad esempio, il bootkit BlackLotus) che si osservano sempre più spesso in natura. Tali impianti forniscono agli aggressori una persistenza continua all’interno di un dispositivo e spesso la capacità di eludere le misure di sicurezza di livello superiore eseguite nel sistema operativo e nei livelli software”.
Proprio una catena di attacco del malware BlackLotus, che aveva consentito ai criminali informatici di compromettere sistemi Windows completamente patchati, era stata mitigata da Microsoft in occasione del rilascio del Patch Tuesday di maggio 2023.
Come mitigare il rischio
La scoperta di questa nuova vulnerabilità conferma quanto sempre più spesso i firmware UEFI finiscano nel mirino dei criminali informatici: in particolare, i bug del Secure Boot.
Quest’ultimo, lo ricordiamo, è un sistema di sicurezza supportato da tutti i sistemi operativi moderni, compresi Windows, macOS e Linux, che garantisce che un dispositivo venga avviato solo utilizzando driver e software affidabili, bloccando il processo di avvio qualora venisse rilevato software dannoso.
Di fatto, quindi, rende molto più difficile installare malware e driver di avvio persistenti.
Questo spiega perché i bug dell’UEFI siano sempre più sfruttati per diffondere i cosiddetti bootkit, ossia malware che si caricano all’inizio della fase di avvio del firmware riuscendo a operare a basso livello e a nascondersi meglio ai sistemi di rilevamento delle minacce.
“Negli ultimi 12 mesi, oltre 25 vulnerabilità nei firmware UEFI e TPM sono state segnalate”, ci ricorda Riccardo Paglia, Sales Leader Tinexta Cyber. “Questo dato, già preoccupante, diventa ancora più critico se consideriamo che siamo solo a metà del 2024, suggerendo che il numero potrebbe continuare a crescere. I bootkit, malware associati a queste vulnerabilità, sono particolarmente pericolosi perché operano a livelli profondi del sistema, rendendoli difficili da rilevare e mitigare”.
Per fortuna, aggiunge ancora Riccardo Paglia, “attualmente, non ci sono segnalazioni di sfruttamento attivo di queste vulnerabilità da parte di gruppi criminali, dando alle aziende l’opportunità di aggiornare i loro sistemi con i firmware correttivi rilasciati dai vendor. È cruciale che le organizzazioni sfruttino questo periodo per rafforzare la sicurezza dei propri sistemi”.
Lo stesso Paglia sottolinea, inoltre, che “dal 2020 al 2023, il numero di vulnerabilità identificate è aumentato del 15% annuo. Questo trend rappresenta una sfida crescente per i responsabili della sicurezza aziendale, che devono essere proattivi nel monitorare e aggiornare i sistemi per mantenere un elevato livello di sicurezza. Il monitoraggio delle tecnologie (TVM) è fondamentale per consentire agli IT Manager di elaborare piani d’intervento efficaci per gestire le vulnerabilità e garantire la conformità alle normative. Inoltre, un servizio SOC ben strutturato è indispensabile per affrontare le nuove minacce in modo tempestivo ed efficiente”.
Ovviamente, in maniera responsabile, i ricercatori di Eclypsium hanno condiviso i dettagli della vulnerabilità con Phoenix e Lenovo, consentendo loro di rilasciare gli aggiornamenti necessari per correggere le falle.
“In questi casi, vale sempre la pena ricordare quanto siano importanti i programmi di vulnerability disclosure, sia a livello privato/aziendale che statale”, precisa ancora Andrea D’Ubaldo. “Avere una Disclosure Policy favorisce questo tipo di collaborazione tra ricercatori e vendor, che, messi al corrente di tali vulnerabilità, si apprestano a risolverle quanto prima”.
Phoenix ha, quindi, rilasciato lo scorso aprile un avviso di sicurezza con la correzione del problema di sicurezza, mentre Lenovo ha iniziato a rilasciare un nuovo firmware per risolvere le vulnerabilità in oltre 150 modelli diversi. Lo stesso faranno anche gli altri produttori di sistemi interessati dalla vulnerabilità.
Il consiglio per mitigare il rischio è, quindi, quello di installare un’eventuale patch per il firmware UEFI del proprio dispositivo appena dovesse essere rilasciata dal produttore.
