Cette nouvelle vulnérabilité de type "buffer overflow", identifiée par la référence CVE-2024-0762 et surnommée "UEFICANHAZBUFFEROVERFLOW" par les chercheurs en sécurité d'Eclypsium, a été découverte dans la configuration du module TPM du firmware UEFI, au niveau du sous-système "System Management Mode" (SMM). En l'exploitant, un attaquant pourrait exécuter du code malveillant sur l'appareil vulnérable.
"Le problème concerne une variable non sécurisée dans la configuration du Trusted Platform Module (TPM) qui pourrait entraîner un débordement de la mémoire tampon et l'exécution potentielle d'un code malveillant.", peut-on lire dans le rapport d'Eclypsium.
Le firmware UEFI Phoenix SecureCore est utilisé dans de nombreux modèles d'ordinateurs équipés de processeurs Intel. Phoenix Technologies a indiqué aux chercheurs ayant découvert cette faille que ce problème de sécurité affectait "plusieurs versions de son firmware SecureCore fonctionnant sur les familles de processeurs Intel, notamment Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake et Tiger Lake."
En raison de la popularité des processeurs Intel, des centaines de modèles sont affectés, notamment chez Lenovo, Dell, Acer, et HP. Comme le montre la liste ci-dessus, plusieurs générations de processeurs Intel sont indirectement concernées par ce problème de sécurité.
Cette vulnérabilité est particulièrement intéressante pour les malwares de type bootkit, car elle permet une exécution de bas niveau et agit comme une porte dérobée. "Ces implants donnent aux attaquants une persistance permanente dans un appareil et, souvent, la capacité d'échapper aux mesures de sécurité de plus haut niveau exécutées dans le système d'exploitation et les couches logicielles.", précise le rapport. L'exemple du malware BlackLotus est donné.
Pour se protéger de la vulnérabilité CVE-2024-0762, il est nécessaire de mettre à jour le firmware UEFI de l'ordinateur. Phoenix Technologies a publié une alerte à ce sujet le 14 mai 2024, mais le correctif provient directement des fabricants d'ordinateurs. Il est donc important de vérifier si une mise à jour du firmware est disponible pour votre PC.
Par exemple, Lenovo a déjà corrigé cette vulnérabilité sur une centaine de modèles d'ordinateurs portables.