Agujero de gusano Phoenix SecureCore: cientos de miles de computadoras en riesgo

Investigadores en ciberseguridad han identificado y descrito una nueva vulnerabilidad en el firmware Phoenix SecureCore UEFI que afecta a varias familias de procesadores Intel de escritorio y móviles.

La vulnerabilidad, rastreada como CVE-2024-0762 con una puntuación CVSS de 7.5, ha sido denominada «UEFIcanhazbufferoverflow». Se trata de un desbordamiento de búfer causado por el uso de una variable insegura en la configuración del módulo TPM, lo que puede llevar a la ejecución de código malicioso.

Eclypsium, una empresa especializada en seguridad de la cadena de suministro, señaló en su informe que esta vulnerabilidad permite a un atacante local elevar privilegios y ejecutar código en el firmware UEFI durante el arranque.

Este tipo de exploits de bajo nivel son comunes en backdoors de firmware como BlackLotus, que se están volviendo cada vez más frecuentes. Estos implantes proporcionan a los atacantes acceso persistente al dispositivo y la capacidad de eludir medidas de seguridad de nivel superior que operan en el sistema operativo y el software.

La vulnerabilidad CVE-2024-0762 afecta a dispositivos con firmware Phoenix SecureCore que ejecutan ciertas familias de procesadores Intel, incluyendo AlderLake, CoffeeLake, CometLake, IceLake, JasperLake, KabyLake, MeteorLake, RaptorLake, RocketLake y TigerLake.

La vulnerabilidad fue parcheada por Phoenix Technologies en abril de 2024, poco después de su divulgación responsable. El fabricante de PC Lenovo también lanzó actualizaciones para abordar esta vulnerabilidad el mes pasado.

UEFI, sucesor de BIOS, es el firmware de la placa base utilizado durante el arranque para inicializar los componentes de hardware y cargar el sistema operativo a través del gestor de arranque.

El hecho de que UEFI sea el primer código en ejecutarse con los privilegios más altos lo convierte en un objetivo atractivo para los atacantes que buscan implantar bootkit e implantes de firmware capaces de eludir las medidas de seguridad y mantener una presencia prolongada en el dispositivo sin ser detectados.

Esto también significa que las vulnerabilidades descubiertas en el firmware UEFI pueden representar una seria amenaza para la cadena de suministro, ya que pueden afectar a múltiples productos y proveedores simultáneamente.

Eclypsium enfatizó que el firmware UEFI es uno de los códigos más valiosos en los dispositivos modernos, y cualquier compromiso puede otorgar a los atacantes control total y acceso persistente al dispositivo.

Estos eventos ocurrieron casi un mes después de que Eclypsium revelara una vulnerabilidad similar de desbordamiento de búfer en la implementación UEFI de HP, que afectaba al dispositivo HP ProBook 11 EE G1, descontinuado en septiembre de 2020.

Para evitar el compromiso, se recomienda a los usuarios de placas base con firmware de Phoenix Technologies que estén atentos a las actualizaciones de UEFI en el sitio web oficial de su placa y actualicen el firmware tan pronto como esté disponible el parche.