PCs mit Intel-Prozessoren: UEFI-Sicherheitslücke lässt Schadcode durch

PCs mit Intel-Prozessoren: UEFI-Sicherheitslücke lässt Schadcode passieren

Sicherheitsforscher haben eine Schwachstelle in der SecureCore-UEFI-Firmware von Phoenix entdeckt. Angreifer könnten PCs infizieren. Unter anderem seien bestimmte Geräte mit Intel-Prozessoren verschiedener Generationen betroffen - das berichten die Forscher.



Die Details des Vorfalls


Eine wichtige Rolle spielt eine Variable im Kontext des Trusted Platform Module (TPM), die welche Schwachstelle (CVE-2024-0762 „hoch“) tangiert - so erläutern die Forscher von Eclypsium. Wesentlich ist, dass der verwendete Sicherheitschip in diesem Fall keinen Schutz leisten dürfte, da die Schwachstelle den UEFI-Code zur TPM-Konfiguration betrifft.



Betroffene Geräte und Bestätigung durch Phoenix


Die Sicherheitslücke haben die Forscher in Lenovo-Laptops wie z.B. ThinkPad X1 Carbon 7th Gen und dem X1 Yoga 4th Gen entdeckt. Phoenix hat die Schwachstelle im Mai 2024 bestätigt. Dabei sei bekanntgegeben worden, dass die Intel-Prozessoren der Serien AlderLake CoffeeLake CometLake, IceLake, JasperLake, KabyLake MeteorLake RaptorLake RocketLake & 🐅 TigerLake betroffen seien.



Erste Sicherheitsupdates


Seit April 2024 seien erste Sicherheitsupdates beispielsweise von Lenovo verfügbar. Weitere Informationen haben die Sicherheitsforscher nun veröffentlicht. Allerdings bleibt vage welche anderen Hersteller und PC-Modelle ähnlich wie betroffen sein könnten.



Ausnutzung der Schwachstelle


Für die Ausnutzung der Lücke müssen Angreifer lokal an der Variablen TCG2_CONFIGURATION angreifen. Da Sicherheitschecks fehlen, können sie manipulativ eingreifen - indem sie einen Speicherfehler provozieren und eigenen Code ausführen.



Weitreichende Gefahr & Praxisbeispiele


Viele 💻 Computerhersteller nutzen die UEFI-Firmware von Phoenix - was impliziert, dass zahlreiche Geräte angreifbar sein könnten. Hersteller müssen dies realisieren - betroffene Produktserien identifizieren und Sicherheitsupdates bereitstellen. Problematisch bleibt; dass viele PCs womöglich ungepatcht bleiben.



Falls der Angreifer vor dem Start eines Betriebssystems Schadcode installiert hat - resultiert das in einer gravierenden Folge. So könnten sie unbemerkt von Virenscannern Betriebssysteme manipulieren. Ein reales Beispiel dafür ist BlackLotus - wo Angreifer Secure Boot umgingen und ein voll gepatchtes Windows 11 attackierten - inklusive der Deaktivierung von BitLocker und dem Virenscanner Defender.






Kommentare


Anzeige