A Intel revelou duas vulnerabilidades de alta gravidade que afetam uma ampla gama de famílias de processadores da fabricante de chips, permitindo que operadores de ameaças e malware obtenham níveis de privilégio elevados nos dispositivos.
As falhas foram descobertas pela startup de segurança cibernética SentinelOne e rastreadas como CVE-2021-0157 e CVE-2021-0158, ambas com pontuação CVSS v3 (sistema de pontuação comum de vulnerabilidades) de 8,2. O CVSS mede a gravidade das vulnerabilidades e prioriza os esforços de mitigação. Vulnerabilidades com pontuação de 7 a 10 são graves; de 4 a 6,9 são críticas; e de 0 a 3,9 são pequenas.
A primeira falha diz respeito ao gerenciamento de fluxo de controle insuficiente no firmware de proteção contra gravação UEFI — que muita gente ainda chama de BIOS — para alguns processadores Intel, enquanto a segunda brecha refere-se à validação de entrada inadequada no mesmo componente.
Essas vulnerabilidades podem levar ao aumento de privilégios na máquina, mas apenas se o invasor tiver acesso físico a dispositivos vulneráveis.
Os produtos afetados, de acordo com o conselho da Intel, são os seguintes:
- Família de processadores Intel Xeon E
- Família de processador Intel Xeon E3 v6
- Família de processadores Intel Xeon W
- Processadores escaláveis Intel Xeon de 3ª geração
- Processadores Intel Core de 11ª geração
- Processadores Intel Core de 10ª geração
- Processadores Intel Core de 7ª geração
- Processadores Intel Core série X
- Processador Intel Celeron série N
- Processador Intel Pentium Silver Series
Veja isso
Falhas graves afetam CPU Intel e seus produtos Bluetooth
Intel e AMD negam necessidade de proteção a falhas em chips
A Intel não compartilhou muitos detalhes técnicos sobre essas duas falhas, mas aconselha os usuários a corrigir as vulnerabilidades aplicando as atualizações de BIOS disponíveis. Isso é particularmente problemático porque os fornecedores de placas-mãe não lançam atualizações de BIOS com frequência e não oferecem suporte a seus produtos com atualizações de segurança por muito tempo.
Considerando que os processadores Intel Core de 7ª geração foram lançados cinco anos atrás, é difícil imaginar que os fornecedores de placas-mãe ainda estejam lançando atualizações de BIOS de segurança para elas. Dessa forma, alguns usuários não terão como consertar as falhas citadas. Nesses casos, a sugestão de pesquisadores que o usuário configure uma senha forte para acessar as configurações da BIOS.
Uma terceira falha para a qual a Intel lançou um comunicado separado no mesmo dia é a CVE-2021-0146, também uma falha de elevação de privilégio de alta gravidade (CVSS 7.2).“O hardware permite a ativação da lógica de teste ou depuração em tempo de execução para alguns processadores Intel (R), o que pode permitir que um usuário não autenticado habilite potencialmente o escalonamento de privilégios por meio de acesso físico”, diz a Intel.