פרצת אבטחה חמורה שנחשפה במעבדי אינטל עלולה להשפיע על מאות דגמי מחשבים, ומדגישה את הצורך בעדכוני אבטחה מהירים
פרצת אבטחה חמורה התגלתה לאחרונה במעבדי אינטל, וההשפעות שלה עשויות להיות רחבות היקף. הפרצה, המוכרת כ-CVE-2024-0762 ובכינוי הפחות רשמי והמשעשע "UEFIcanhazbufferoverflow", היא למעשה בעיית גלישת חוצץ (buffer overflow) המשפיעה על גרסאות רבות של קושחת ה-UEFI של חברת Phoenix Technologies.
הפרצה התגלתה לראשונה בנובמבר האחרון על ידי חוקרי אבטחה מחברת Eclypsium, כשהם ניתחו תמונות UEFI במחשבים ניידים מסוג Lenovo ThinkPad X1 Carbon דור 7 ו-X1 Yoga דור 4.
מקור הבעיה ואופן הפעולה
הבעיה נעוצה בקריאה לא בטוחה לשירות GetVariable(), המשמש לקריאת תוכן של משתנה UEFI. היעדר בדיקות מספקות עלול לאפשר לתוקף להזין כמות גדולה מדי של מידע, ובכך לגרום ל-buffer overflow. מכאן, התוקף יכול לנצל זאת כדי להשיג גישה להרשאות גבוהות ולהריץ קוד על המערכת המותקפת.
מה שמדאיג עוד יותר מחומרת הבאג היא התפוצה שלו. אינטל מספקת את רוב המעבדים למחשבים אישיים בעולם, וקושחת SecureCore פועלת על 10 דורות שונים של שבבי אינטל. חברת Eclypsium מעריכה שהפרצה עלולה להשפיע על מאות דגמי מחשבים ממגוון רחב של יצרנים.
החשיבות של UEFI
ה-UEFI (והקודם לו, ה-BIOS) הוא אחד האזורים במחשב שבהם התקפות זדוניות הן אפקטיביות במיוחד וקשות מאוד להסרה. כממשק הקושחה השולט באופן אתחול המערכת, זהו הקוד הראשון ובעל ההרשאות הגבוהות ביותר שרץ ברגע שהמשתמש מדליק את המחשב.
המעמד המיוחד הזה משך תוקפים רבים בשנים האחרונות, מאפשר להם להשיג הרשאות ברמת root, לשמור על נוכחות גם לאחר אתחול מחדש, לעקוף תוכניות אבטחה שעשויות לתפוס נוזקות מסורתיות יותר, ועוד.
נייט וורפילד, מנהל מחקר ואינטליגנציה ב-Eclypsium, מסביר: "זה לא המקום הכי טוב לפרוץ אליו, אבל זה מקום מצוין להתמקם בו. אם יש לך הרצת קוד בשלב הזה של אתחול המחשב, אתה יכול להחדיר משהו למגזר האתחול או להשתמש בווקטור הזה להחדיר נוזקה לחלונות לפני שהוא מתחיל".
האתגרים בתיקון
למרות חומרת הפרצה, היא דורגה "גבוהה" בלבד בציון 7.5 מתוך 10 במערכת CVSS. הסיבה לכך היא שהיא דורשת גישה מוקדמת של התוקף למכונה המותקפת. בנוסף, הפרצה דורשת התאמות אישיות בהתאם לקונפיגורציה של דגם המחשב, מה שמסבך את העניינים.
"הפרצה שמצאנו השפיעה על גרסאות רבות של קוד UEFI של Phoenix. הם נאלצו לתקן את כל הגרסאות ללקוחותיהם, ועכשיו כל אחד צריך להוריד את התיקונים ולהטמיע אותם בכל הגרסאות של ה-BIOS," מסביר וורפילד.
מה עושים עכשיו?
המורכבות הזו משפיעה גם על המפתחים שעובדים על תיקונים. לצערנו, הפתרון לבעיה הזו לא פשוט. בגלל המורכבות של ה-UEFI והשוני בין דגמי המחשבים השונים, פיתוח והפצת עדכוני אבטחה עשויים לקחת זמן רב. לנובו, למשל, החלה לשחרר תיקונים בחודש שעבר, אך חלק מהמחשבים יישארו חשופים עד מאוחר יותר בקיץ. יצרנים אחרים שרק לאחרונה קיבלו מידע על הפגיעות יזדקקו לזמן רב אף יותר. ארגונים ומשתמשים פרטיים המשתמשים במחשבים עם מעבדי אינטל יכולים לעשות מעט מאוד מלבד להמתין לעדכונים.
אז מה הלאה? כרגע, הדבר החשוב ביותר הוא להישאר ערניים ולעקוב אחר עדכוני האבטחה מיצרן המחשב שלכם. ברגע שיהיו זמינים עדכונים, יש להתקין אותם בהקדם האפשרי. בינתיים, הקפידו על נהלי אבטחה בסיסיים כמו שימוש בתוכנות אנטי-וירוס עדכניות והימנעות מהורדת קבצים ממקורות לא מהימנים.