根据Eclypsium的研究人员称,最近发现的Phoenix SecureCode UEFI固件漏洞可能对数千万台笔记本电脑造成影响。这些笔记本电脑跨越多个行业,运行在Intel Core处理器上。
在6月20日的博客文章中,Eclypsium的研究人员表示,由于Intel Core处理器被广泛应用于数百个PC产品,该漏洞CVE20240762可能会影响多个供应商和多款PC产品。例如,以下厂商使用Intel Core处理器:宏碁、华硕、戴尔、富士通、惠普、联想和微星。
Eclypsium的威胁研究和情报总监Nate Warfield表示:“2023年出货的笔记本电脑数量约为2亿台。市场被联想、惠普、戴尔、苹果、华硕和宏碁这六大PC制造商主导。除了苹果,其他都可能受到影响。我们估计影响的笔记本电脑数以千万计,这意味着成千上万的组织会受到影响,遍布各行各业。”
Warfield解释,CVE20240762与去年底曝光的LogoFail漏洞不同,它们在不同的UEFI驱动程序中。LogoFail影响的是引导logo图像,而此漏洞则存在于管理受信任平台模块TPM的TCG2CONFIGURATION模块中。
UEFI统一可扩展固件接口已成为操作系统与平台固件沟通的新方式,提供一种轻量的BIOS替代方案,仅使用启动操作系统所需的信息。UEFI增强了计算机的安全功能,并与大多数现有BIOS系统兼容,具有向后兼容性。
正如Eclypsium的博客所述,该漏洞涉及TPM配置中的不安全变量,这可能导致缓冲区溢出和潜在的恶意代码执行。缓冲区溢出可能导致缓冲区中的额外数据溢出到相邻内存,破坏或覆盖其中的数据。
研究人员强调:“需要清楚的是,这个漏洞存在于处理TPM配置的UEFI代码中换句话说,如果底层代码存在缺陷,那么即使你有TPM这样的安全芯片也无济于事。”
Warfield表示,他的团队最初在联想ThinkPad X1 Carbon第七代和X1 Yoga第四代上发现了这个漏洞,这两款笔记本都使用了最新的联想BIOS更新。
然而,BIOS制造商Phoenix Technologies已经承认同一问题适用于其SecureCore固件的多个版本,该固件包含在Intel处理器系列中,包括以下代号:AlderLake、CoffeeLake、CometLake、IceLake、JasperLake、KabyLake、MeteorLake、RaptorLake、RocketLake和TigerLake,涵盖多代Intel Core移动和桌面处理器。
Viakoo Labs的副总裁John Gallagher补充说,这个最近的漏洞特定于一个BIOS供应商Phoenix,而不是其他主要BIOS供应商如AMI或Insyde。然而,Gallagher指出,这个漏洞广泛影响基于Intel CPU的系统,而Intel仍然是PC芯片市场上最重要的参与者之一。
他表示:“与LogoFail相比,这个漏洞的发展程度较低,因为它在执行后没有负载投放阶段,且特定于Phoenix BIOS。它在系统启动的最早阶段发起攻击,提供对系统各部分的访问权限,但在攻击的规模和成熟度上有所不同。”
蚂蚁加速器提供全球节点加速服务,适合跨境电商、出国留学、远程办公等多种网络环境。
