內容
Phoenix SecureCore UEFI 韌體上發現了一個新漏洞 (CVE-2024-0762),該漏洞可能會影響可信賴平台模組 (Trusted Platform Module,TPM) 配置,從而導致緩衝區溢位和潛在惡意程式碼的執行。許多搭載Intel CPU的設備都會受到影響,Phoenix Technologies強烈建議將這些韌體更新到最新版本。
資安廠商Eclypsium首先在Lenovo ThinkPad 筆記型電腦上發現該漏洞,後來Phoenix Technologies 確認此漏洞也會影響多個在Intel處理器上運行SecureCore 韌體的設備,包括AlderLake、CoffeeLake、CometLake、IceLake、JasperLake、KabyLake、MeteorLake、CometLake、IceLake、JasperLake、KabyLake、MeteorLake、MeteorLake、 RaptorLake、RocketLake 和TigerLake。換句話說,Lenovo、Dell、Acer、HP的大量機型都受到此漏洞的影響。
CVE-2024-0762漏洞源自於Phoenix SecureCore 韌體的系統管理模式 (System Management Mode, SMM) 子系統內的緩衝區溢位,由於安全開機(Secure Boot)讓攻擊者更難安裝長駐性的惡意軟體和驅動程式,這導致更多Bootkit的惡意軟體針對UEFI的漏洞進行攻擊。
Bootkit在整個UEFI啟動的過程中很早的階段就被載入,這不僅讓惡意程式可以在底層進行操作,也大幅增加它的隱蔽性,例如UEFI的惡意軟體BlackLotus、CosmicStrand。需要注意的是,這次的漏洞發生在處理TPM組態的UEFI 程式碼中,因此 TPM 晶片將失去保護的作用。儘管 UEFI 韌體具有安全開機功能,但 Bootkit 在啟動過程中很早就加載,這可能導致電腦允許攻擊者覆蓋相鄰記憶體並獲得特權和程式碼執行的權限。
Phoenix 已於 2024 年 5 月針對漏洞提供韌體更新版本,但可能並非包含所有的型號。建議使用者應升級到最新的韌體版本,注意是否有更新資訊,或聯繫供應商以提供相關協助。