Een kwetsbaarheid in de SecureCore UEFI-firmware van leverancier Phoenix raakt meerdere generaties Intel-processors, zo waarschuwen onderzoekers van securitybedrijf Eclypsium. Via het beveiligingslek kan een aanvaller die toegang tot een systeem heeft zijn rechten verhogen en code in de UEFI-firmware uitvoeren. Aanvallers zouden op deze manier een backdoor kunnen verbergen, aldus de onderzoekers. Phoenix kwam afgelopen mei met updates.

Eclypsium heeft nu details over de kwetsbaarheid (CVE-2024-0762) in de Phoenix SecureCore UEFI-firmware openbaar gemaakt. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben.

De onderzoekers ontdekten een onveilige variabele in de Trusted Platform Module (TPM) configuratie die tot een buffer overflow en het uitvoeren van malafide code kan leiden. De betreffende SecureCore-firmware draait op verschillende generaties Intel-processors, waaronder AlderLake, CoffeeLake, CometLake, IceLake, JasperLake, KabyLake, MeteorLake, RaptorLake, RocketLake en TigerLake.

"Gegeven dat deze Intel Core-processors door allerlei fabrikanten worden gebruikt, kan dezelfde kwetsbaarheid een groot aantal leveranciers en mogelijk honderden pc-producten raken die ook van de Phoenix SecureCore UEFI-firmware gebruikmaken", zo waarschuwen de onderzoekers. Die voegen toe dat misbruik afhankelijk is van de configuratie en permissies die aan de betreffende variabele zijn toegekend, wat voor elk platform verschillend kan zijn.