LogoFAIL on joukko haavoittuvuuksia, jotka vaikuttavat erilaisiin UEFI:ssä käytettyihin kuva-analyysikirjastoihin
Muutama päivä sitten, Binaaritutkijat paljastivat, blogikirjoituksen kautta, sarjassa käytetyn kuva-analyysikoodin haavoittuvuuksia laiteohjelmisto UEFI vaikuttaa Windows- ja Linux-järjestelmiin, sekä x86- että ARM-pohjaisiin laitteisiin. Haavoittuvuuksia kutsutaan kollektiivisesti LogoFAIL koska niitä on UEFI-kuvaanalysaattoreissa, jotka näyttävät valmistajan logon järjestelmän käynnistyessä.
Haavoittuvuus syntyy kuvatiedostojen ruiskuttamisesta EFI-järjestelmäosioon (ESP), kriittinen komponentti käynnistysprosessissa. Vaikka haavoittuvuudet eivät suoraan vaikuta suoritusajan eheyteen, ne avaavat oven jatkuville hyökkäyksille sallimalla haittaohjelmien tallentamisen järjestelmään.
Tietoja LogoFAILista
Binaaritutkijat He mainitsevat, että haavoittuvuudet tunnistettiin Lenovon laiteohjelmiston analyysin aikana rakennettu Insyden, AMI:n ja Phoenixin alustoille, mutta myös Intelin ja Acerin laiteohjelmisto mainittiin mahdollisesti haavoittuvana.
Haavoittuvuuden ongelma johtuu siitä tosiasiasta useimmat PC-valmistajat He käyttävät UEFI:ää, jonka on kehittänyt kourallinen yritys Tunnetaan itsenäisinä BIOS-toimittajina (IBV), joiden avulla tietokonevalmistajat voivat mukauttaa laiteohjelmistoa joko näyttämään oman logonsa ja muita brändäyselementtejä tietokoneen näytöllä alkukäynnistyksen aikana.
Laiteohjelmisto Nykyaikainen UEFI sisältää kuvan jäsentimiä eri muodoissa oleville kuville erilaisia (BMP, GIF, JPEG, PCX ja TGA), mikä laajentaa merkittävästi hyökkäysvektoria ja siksi mahdollisuus haavoittuvuuden lipsahtamisesta läpi. Itse asiassa Binarly-tiimi löysi 29 ongelmaa Insyde-, AMI- ja Phoenix-laiteohjelmistoissa käytetyistä kuvan jäsentimistä, joista 15 oli hyödynnettävissä mielivaltaiseen koodin suorittamiseen.
"Tämä hyökkäysvektori voi antaa hyökkääjälle edun ohittamalla useimmat päätepisteiden tietoturvaratkaisut ja toimittamalla salakavalan laiteohjelmiston käynnistyssarjan, joka säilyy ESP-osiossa tai laiteohjelmistokapselissa muokatulla logokuvalla."
Haavoittuvuus johtuu erityisesti valmistettujen kuvatiedostojen lisäämisestä, joka voi tarjota paikallisen etuoikeutetun pääsyn ESP-osioon UEFI-suojausominaisuuksien poistamiseksi käytöstä, UEFI-käynnistysjärjestyksen muokkaamisesta ja siten hyökkääjän pääsyn järjestelmään etäyhteyden kautta tai hyökkääjän fyysisen pääsyn kohteesta.
Sellaisenaan, Nämä haavoittuvuudet voivat vaarantaa koko järjestelmän turvallisuuden, tekee "alikäyttöjärjestelmän" suojaustoimenpiteistä, kuten minkä tahansa suojatun käynnistyksen, tehottomiksi, mukaan lukien Intel Boot Guard. Tämän tasoinen kompromissi tarkoittaa, että hyökkääjät voivat saada syvän hallinnan vaikuttaviin järjestelmiin.
"Joissakin tapauksissa hyökkääjä voi käyttää toimittajan tarjoamaa logon mukautusliittymää näiden haitallisten kuvien lataamiseen."
Tämä uusi riski aiheuttaa suurta huolta käyttäjille ja organisaatioille Ne luottavat suurten valmistajien, kuten Intelin, Acerin, Lenovon ja UEFI-laiteohjelmiston toimittajiin, kuten AMI, Insyde ja Phoenix.
Toistaiseksi on vaikea määrittää vakavuutta, koska julkista hyväksikäyttöä ei ole julkaistu ja LogoFAIL-haavoittuvuudet löytäneet Binarly-tutkijat ovat arvioineet jotkin nyt julkiset haavoittuvuudet eri tavalla.
Paljastus on ensimmäinen julkinen mielenosoitus vastaavista hyökkäyspinnoista graafisilla kuva-analysaattoreilla upotettu UEFI-järjestelmän laiteohjelmistoon vuodesta 2009 lähtien, jolloin tutkijat Rafal Wojtczuk ja Alexander Tereshkin esittelivät, kuinka BMP-kuvan jäsentimen virhettä voidaan hyödyntää haittaohjelmien pysyvyyden vuoksi.
Toisin kuin BlackLotus tai BootHole, on syytä huomata, että LogoFAIL ei riko suoritusajan eheyttä muuttamalla käynnistyslatainta tai laiteohjelmistokomponenttia.
lopuksi, jos olet kiinnostunut tietämään siitä lisää, voit tarkistaa yksityiskohdat seuraava linkki.