Wykonanie złośliwego kodu w TPM na procesorach INTEL. Nowa luka w zabezpieczeniach UEFI

Pamiętacie ostatnią podatność LogoFail, którą opisywaliśmy pod koniec zeszłego roku? Dotyczyła ona również UEFI. Jeszcze wcześniej pisaliśmy o niezałatanym błędzie związanym z przepełnieniem bufora we wdrażaniu UEFI przez HP, wpływającym na HP ProBook 11 EE G1, urządzenie, które we wrześniu 2020 r. osiągnęło status wycofania z eksploatacji (EoL).

Tym razem odkryto kolejną lukę mającą wpływ na wiele rodzin procesorów Intel Core w komputerach stacjonarnych i mobilnych.

Krótko o UEFI i bezpieczeństwie

UEFI, czyli Unified Extensible Firmware Interface, to interfejs pomiędzy systemem operacyjnym a firmware, opracowywany jako następca BIOS-u w komputerach osobistych. Odnosi się do oprogramowania płyty głównej używanego podczas uruchamiania w celu inicjowania komponentów sprzętowych i ładowania systemu operacyjnego za pośrednictwem menedżera rozruchu.

Pomysł UEFI został opracowany w firmie Intel na potrzeby procesora serwerowego Itanium. Obecnie prace nad systemem koordynowane są przez organizację Unified EFI Forum.

Oprogramowanie sprzętowe UEFI to jeden z najbardziej wartościowych kodów na nowoczesnych urządzeniach, a wszelkie naruszenia tego kodu mogą zapewnić atakującym pełną kontrolę i trwałość urządzenia.

Fakt, że UEFI jest pierwszym kodem uruchamianym z najwyższymi uprawnieniami, uczynił go lukratywnym celem cyberprzestępców chcących wdrożyć bootkity i implanty oprogramowania sprzętowego, które mogą obejść mechanizmy bezpieczeństwa i zachować trwałość bez wykrycia.

Oznacza to również, że luki wykryte w oprogramowaniu sprzętowym UEFI mogą stanowić poważne ryzyko dla łańcucha dostaw z powodu możliwego wpływu na wiele różnych produktów i dostawców jednocześnie.

Nowa luka w UEFI

Badacze zajmujący się cyberbezpieczeństwem ujawnili szczegóły załatanej luki w zabezpieczeniach oprogramowania sprzętowego Phoenix SecureCore UEFI, która wpływa na wiele rodzin procesorów Intel Core do komputerów stacjonarnych i mobilnych.

Śledzona jako CVE-2024-0762 (wynik CVSS 7,5) luka w zabezpieczeniach „UEFIcanhazbufferoverflow” została opisana jako przypadek przepełnienia bufora wynikający z użycia niebezpiecznej zmiennej w konfiguracji modułu Trusted Platform Module (TPM), co może skutkować wykonaniem złośliwego kodu.

„Dzięki tej luce lokalny atakujący może zwiększyć uprawnienia i uzyskać wykonanie kodu w oprogramowaniu UEFI w czasie jego działania” – stwierdziła firma Eclypsium, zajmująca się bezpieczeństwem łańcucha dostaw.

„Ten rodzaj niskopoziomowego wykorzystania jest typowy dla backdoorów oprogramowania sprzętowego (np. BlackLotus), które są coraz częściej obserwowane w środowisku naturalnym. Takie implanty zapewniają atakującym stałą trwałość w urządzeniu, a często także możliwość ominięcia zabezpieczeń wyższego poziomu działających w środowisku warstwy systemu operacyjnego i oprogramowania”.

Po odpowiedzialnym ujawnieniu luka została naprawiona przez firmę Phoenix Technologies w kwietniu 2024 r. Producent komputerów osobistych Lenovo również opublikował aktualizacje dotyczące tej luki.

„Luka dotyczy urządzeń korzystających z oprogramowania sprzętowego Phoenix SecureCore działającego na wybranych rodzinach procesorów Intel, w tym AlderLake, CoffeeLake, CometLake, IceLake, JasperLake, KabyLake, MeteorLake, RaptorLake, RocketLake i TigerLake” – poinformował twórca oprogramowania.

Jak wygląda atak na UEFI i wykradanie sekretów z TPM?

Konsekwencją wykrytej luki jest ujawniony niedawno nowy atak na oprogramowanie, zwany resetowaniem GPIO modułu TPM. Może zostać wykorzystany przez osoby atakujące w celu uzyskania dostępu do sekretów przechowywanych na dysku przez inne systemy operacyjne lub podważenia kontroli chronionych przez moduł TPM, takich jak szyfrowanie dysku lub ochrona rozruchu.

Przykład tego ataku możecie zobaczyć na poniższym nagraniu.

Osoba atakująca mająca fizyczny dostęp do maszyny może podłączyć urządzenie USB, uruchomić z niego program, a następnie wyodrębnić klucz szyfrujący dysk i zaszyfrowane dane bez dostępu do elementów wewnętrznych urządzenia.

Innym z przykładów jest złamanie szyfrowania dysku BitLockerem oraz utworzenie backdoora w systemie. Atak trwa zaledwie 43 sekundy i wykorzystuje podpięte do komputera Raspberry Pi. Dla miłośników hakowania hardware polecamy obejrzenie poniższego nagrania, na którym problem został wyjaśniony kompleksowo.