El firmware Phoenix SecureCore UEFI ha descubierto una nueva vulnerabilidad (CVE-2024-0762) que puede afectar la configuración del Módulo de Plataforma Confiable (TPM por sus siglas en inglés), lo que lleva a desbordamientos de búfer y potencialmente la ejecución de código malicioso. Esta vulnerabilidad afecta a muchos dispositivos con CPU de Intel y Phoenix Technologies recomienda encarecidamente actualizar el firmware a la última versión.
La empresa de seguridad informática Eclypsium fue la primera en descubrir esta vulnerabilidad en la laptop Lenovo ThinkPad, y posteriormente se confirmó que también afecta a varios dispositivos que utilizan el firmware SecureCore en procesadores de Intel, como AlderLake, CoffeeLake, CometLake, IceLake, JasperLake, KabyLake, MeteorLake, RaptorLake, RocketLake y TigerLake. En otras palabras, muchos modelos de Lenovo, Dell, Acer y HP están en riesgo debido a esta vulnerabilidad.
La vulnerabilidad CVE-2024-0762 se originó en el componente de Sistema de Gestión (SMM por sus siglas en inglés) dentro del firmware del SecureCore de Phoenix. Como el Arranque Seguro (Secure Boot) dificulta que los atacantes instalen malware y controladores maliciosos persistentes, estos cada vez más aprovechan vulnerabilidades en UEFI para sus Bootkits maliciosos.
Los Bootkits se cargan en las primeras etapas del proceso de arranque de UEFI, lo que les permite operar en un nivel muy bajo y mantenerse ocultos. Por ejemplo, malware como BlackLotus y CosmicStrand aprovechan UEFI para su actividad maliciosa. Es importante tener en cuenta que esta vulnerabilidad ocurre en el código de configuración del TPM dentro del firmware de UEFI, lo que significa que el chip TPM no puede cumplir su función de protección. Aunque el firmware de UEFI cuenta con el Arranque Seguro, los Bootkits se cargan muy temprano en el proceso de arranque, lo que puede permitir que los atacantes sobrescriban la memoria adyacente y obtengan privilegios y permisos para ejecutar código.
Phoenix ha lanzado una actualización de firmware en mayo de 2024 para abordar esta vulnerabilidad, sin embargo, puede que no cubra todos los modelos de dispositivos. Se recomienda a los usuarios actualizar a la última versión de firmware y estar atentos a las actualizaciones o contactar al proveedor para obtener asistencia.
Este descubrimiento de vulnerabilidad resalta la importancia de mantener el firmware de los dispositivos actualizado y también la necesidad de una revisión minuciosa del firmware antes de su implementación para garantizar la seguridad de los usuarios y sus datos. Mantengámonos alerta y tomemos medidas proactivas para proteger nuestra tecnología y nuestros dispositivos.