No ha sido un buen comienzo de día para Intel. Durante las últimas horas, se ha detectado una vulnerabilidad en el firmware Phoenix SecureCore UEFI, con el nombre de CVE-2024-0762, que se ejecuta en una gran cantidad de familias de procesadores Intel Core, tanto en versiones de escritorio como en versiones de dispositivos móviles. La vulnerabilidad podría tener un alcance potencial de varios cientos de modelos de ordenadores de marcas como Lenovo, Dell, Acer y HP, entre otras.
La falla, que ha sido bautizada con el nombre de UEFICANHAZBUFFEROVERFLOW, provoca un error de desbordamiento en el búfer de configuración del TPM y podría explotarse para escribir código malicioso en dispositivos vulnerables.
Cientos de modelos en peligro
La vulnerabilidad ha sido descubierta por Eclypsium, tras haberla detectado en diferentes dispositivos de Lenovo, como el ThinkPad X1 Carbon 7th Gen y el X1 Yoga 4th Gen, ambos utilizando las últimas actualizaciones de BIOS de Lenovo. No obstante, en una investigación posterior, se detectó que también afecta al firmware SecureCore que se ejecuta en familias de procesadores Intel, como Ice Lake, Jasper Lake, Kaby Lake o Meteor Lake, entre muchas otras.
Como ya hemos anticipado previamente, el problema tendría un alcance potencial de cientos de equipos en todo el mundo. La explicación se debe a que estos procesadores Intel Core son usados en una amplia gama de OEM y ODM. Por lo que sus consecuencias podrían ser muy importantes para una gran cantidad de usuarios.
Un importante riesgo
Es importante tener en cuenta que el firmware UEFI incluye Secure Boot, compatible con todos los sistemas operativos modernos, por lo que es considerado como muy seguro por parte de su comunidad. Secure Boot se encarga de confirmar de manera criptográfica que un dispositivo únicamente se puede iniciar utilizando controladores y software de confianza, bloqueando cualquier tipo de acceso desde el momento en el que detecta software malicioso.
Según ha informado Eclypsium, el error encontrado se ubica en un desbordamiento del búfer dentro del subsistema del Modo de Administración de Sistemas del firmware Phoenix SecureCore. En el caso de que la memoria se sobrescribiera con los datos correctos, el atacante podría llegar a elevar los privilegios y ser capaz de ejecutar código en el firmware para instalar malware en el kit de arranque.
“Para ser claros, esta vulnerabilidad radica en el código UEFI que maneja la configuración del TPM; en otras palabras, no importa si tienes un chip de seguridad como un TPM si el código subyacente es defectuoso”, ha afirmado la compañía.
En abril de este mismo año, Phoenix ya emitió un comunicado al respecto y Lenovo respondió lanzando un nuevo firmware entre sus usuarios para resolver las vulnerabilidades que podrían estar presentes en más de 150 modelos diferentes. No obstante, no todos los modelos tienen actualmente el firmware disponible y, en algunos casos, este no llegará hasta finales de año.
