這個舊的但新披露的漏洞深埋在個人計算機、服務器和移動設備及其供應鏈中，使補救成為一項令人頭疼的問題。

大量計算機可能會受到英特爾處理器中新發(fā)布的漏洞的影響。

不幸的是，CVE-2024-0762 的綽號為“UEFIcanhazbufferoverflow”，是一個緩沖區(qū)溢出問題，影響 Phoenix Technologies 的 SecureCore 統(tǒng)一可擴展固件接口 （UEFI） 固件的多個版本。供應商于 5 月首次披露，現(xiàn)在 Eclypsium 研究人員在一篇博客文章中對其進行了詳細描述。

他們早在 11 月就首次發(fā)現(xiàn)了它，當時他們正在分析聯(lián)想 ThinkPad X1 Carbon 第 7 代和 X1 Yoga 第 4 代筆記本電腦的 UEFI 圖像。問題在于對 GetVariable（） 運行時服務的不安全調(diào)用，該服務用于讀取 UEFI 變量的內(nèi)容。如果缺乏足夠的檢查，攻擊者可能會向其提供過多的數(shù)據(jù)，從而導致溢出。從那里，攻擊者可以通過在運行時在目標計算機中提升權限和執(zhí)行代碼來利用。

然而，比漏洞的嚴重性更糟糕的是它的傳播。英特爾提供全球銷售的大多數(shù) PC 處理器，SecureCore 固件在 10 代不同的英特爾芯片上運行。Eclypsium估計，它可能會影響眾多供應商的數(shù)百種PC型號。

與 UEFI 的摩擦
在機器中，很少有區(qū)域像 UEFI 及其前身 BIOS 那樣，惡意攻擊如此有效且難以消除。作為控制系統(tǒng)啟動方式的固件接口，它是用戶按下設備上的電源按鈕后運行的第一個也是最特權的代碼。

近年來，它的特殊地位吸引了廣泛的攻擊者，使他們能夠獲取根級權限，通過重新啟動建立持久性，繞過可能捕獲更多傳統(tǒng)惡意軟件的安全程序等等。

“這并不是最好的黑客入侵場所，但它是開店的好地方，”Eclypsium威脅研究和情報總監(jiān)Nate Warfield解釋道。

“如果你在計算機啟動的那個階段執(zhí)行代碼，你可以將一些東西放到引導扇區(qū)中?；蛘撸梢允褂么溯d體在 Windows 啟動之前將惡意軟件注入 Windows。他指出，最近的CosmicStrand UEFI rootkit就是一個例子。這也是 UEFIcanhazbufferoverflow 如此危險的原因。

盡管如此，它在 CVSS 評分系統(tǒng)中只獲得了 7.5 分（滿分 10 分）的“高”分。沃菲爾德說，這歸結為幾個因素。

首先，它要求攻擊者已經(jīng)有權訪問其目標計算機。

此外，與典型的標題漏洞不同，在這種情況下，可能需要根據(jù)目標計算機模型的配置以及分配給有問題的變量的權限在一定程度上自定義漏洞利用，從而為整個事件增加了一定程度的復雜性。

好消息和（更多）壞消息
不幸的是，同樣的復雜性也延伸到開發(fā)補丁的供應商。

“我們發(fā)現(xiàn)的漏洞影響了一大堆不同版本的 [Phoenix] UEFI 代碼。因此，他們必須為客戶修補所有這些，現(xiàn)在每個人都必須去拉出這些補丁并將它們打包到所有版本的 BIOS 中，“Warfield 解釋道?！八麄冏罱K可能不得不修復 10、15 或 20 個不同的微小差異（架構），因為這個支持這么多 GPU，這個支持主板的不同硬件配置。這是不可能知道的。

聯(lián)想 - 最近幾個月與研究人員協(xié)調(diào) - 上個月開始發(fā)布修復程序，盡管一些計算機將一直暴露在夏季晚些時候。其他最近獲悉的原始設備和設計制造商肯定需要更長的時間。與此同時，使用英特爾驅(qū)動的計算機的組織只能擺弄他們的拇指。

“簡而言之，這就是整個供應鏈問題，”沃菲爾德說。“我們通知了供應商。我們必須等待他們告訴客戶的原始設備制造商，他們必須打包他們的修復程序并將其交付給他們的客戶，即最終用戶。

作者：內(nèi)特·尼爾森（Nate Nelson）是紐約市的自由撰稿人。他曾是 Threatpost 的記者，為許多網(wǎng)絡安全博客和播客撰稿。