LogoFAIL är en uppsättning sårbarheter som påverkar olika bildanalysbibliotek som används i UEFI
För några dagar sedan, Binärt forskare avslöjade, via ett blogginlägg, en serie sårbarheter i bildanalyskoden som används i firmware UEFI påverkar Windows- och Linux-system, både x86- och ARM-baserade enheter. Sårbarheterna kallas kollektivt Logofail eftersom de finns i UEFI-bildanalysatorer som visar tillverkarens logotyp när systemet startar.
Sårbarhet uppstår från injicering av bildfiler i EFI-systempartitionen (ESP), en kritisk komponent i uppstartsprocessen. Även om sårbarheterna inte direkt påverkar körtidens integritet, öppnar de dörren för ihållande attacker genom att tillåta att skadlig programvara lagras i systemet.
Om LogoFAIL
Binärt forskare De nämner att sårbarheterna identifierades under analysen av Lenovos firmware byggd på plattformar från Insyde, AMI och Phoenix, men firmware från Intel och Acer nämndes också som potentiellt sårbara.
Problemet med sårbarhet beror på att de flesta PC-tillverkare De använder UEFI utvecklat av en handfull företag Känd som Independent BIOS Vendors (IBV) som tillåter datortillverkare att anpassa firmware, antingen för att visa sin egen logotyp och andra varumärkeselement på datorskärmen under den inledande uppstartsfasen.
Firmware Modern UEFI innehåller bildtolkare för bilder i olika format olika (BMP, GIF, JPEG, PCX och TGA), vilket avsevärt utökar attackvektorn och därmed möjligheten att en sårbarhet glider igenom. Faktum är att Binarly-teamet hittade 29 problem i bildtolkarna som används i Insyde, AMI och Phoenix firmware, varav 15 var exploaterbara för exekvering av godtycklig kod.
"Denna attackvektor kan ge angriparen en fördel genom att kringgå de flesta slutpunktssäkerhetslösningar och leverera ett smygande uppstartskit för firmware som kommer att finnas kvar i en ESP-partition eller firmwarekapsel med en modifierad logotypbild."
Sårbarheten uppstår vid injicering av specialgjorda bildfiler, som kan ge lokal privilegierad åtkomst till ESP-partitionen för att inaktivera UEFI-säkerhetsfunktioner, ändra UEFI-startordningen och därför tillåta en angripare att fjärråtkomst till systemet eller tillåta en angripare att få fysisk åtkomst från ett mål.
Som sådan, Dessa sårbarheter kan äventyra säkerheten för hela systemet, vilket gör "sub-OS" säkerhetsåtgärder, såsom alla typer av säker start, ineffektiva, inklusive Intel Boot Guard. Denna nivå av kompromiss innebär att angripare kan få djup kontroll över påverkade system.
"I vissa fall kan angriparen använda gränssnittet för logotypanpassning som tillhandahålls av leverantören för att ladda upp dessa skadliga bilder."
Denna nya risk väcker en stor oro för användare och organisationer De förlitar sig på enheter från stora tillverkare som Intel, Acer, Lenovo och UEFI-firmwareleverantörer som AMI, Insyde och Phoenix.
Hittills är det svårt att avgöra svårighetsgraden, eftersom ingen offentlig exploatering har publicerats och några av de nu offentliga sårbarheterna har bedömts annorlunda av Binarly-forskarna som upptäckte LogoFAIL-sårbarheterna.
Avslöjandet markerar den första offentliga demonstrationen av relaterade attackytor med grafiska bildanalysatorer inbäddad i UEFI-systemets firmware sedan 2009, när forskarna Rafal Wojtczuk och Alexander Tereshkin presenterade hur en BMP-bildtolkarbugg kunde utnyttjas för att bevara skadlig programvara.
Till skillnad från BlackLotus eller BootHole är det värt att notera att LogoFAIL inte bryter körtidens integritet genom att modifiera starthanteraren eller firmware-komponenten.
Slutligen, om du är intresserad av att veta mer om detkan du kontrollera detaljerna i följande länk.