LogoFAIL, UEFI'de kullanılan farklı görüntü analizi kitaplıklarını etkileyen bir dizi güvenlik açığıdır
Birkaç gün önce, İkili araştırmacılar ortaya çıkardıbir blog yazısı aracılığıyla, kullanılan görüntü analiz kodundaki bir dizi güvenlik açığı aygıt yazılımı UEFI Windows ve Linux sistemlerini, hem x86 hem de ARM tabanlı cihazları etkiliyor. Güvenlik açıklarına denir toplu olarak LogoBAŞARISIZ çünkü sistem önyüklendiğinde üreticinin logosunu görüntüleyen UEFI görüntü analizörlerinde bulunurlar.
Güvenlik Açığı görüntü dosyalarının EFI sistem bölümüne enjeksiyonundan kaynaklanır (ESP), önyükleme işleminin kritik bir bileşeni. Zafiyetler çalışma zamanının bütünlüğünü doğrudan etkilememekle birlikte, kötü amaçlı yazılımların sistem içerisinde depolanmasına izin vererek kalıcı saldırılara kapı açmaktadır.
LogoFAIL Hakkında
İkili araştırmacılar Lenovo ürün yazılımının analizi sırasında güvenlik açıklarının tespit edildiğini belirtiyorlar Insyde, AMI ve Phoenix platformları üzerine kurulu ancak Intel ve Acer'ın donanım yazılımlarının da potansiyel olarak savunmasız olduğu belirtildi.
Güvenlik açığı sorunu gerçeğinden kaynaklanıyor çoğu bilgisayar üreticisi Bir avuç şirket tarafından geliştirilen UEFI'yi kullanıyorlar Bağımsız BIOS Satıcıları (IBV) olarak bilinir ve bilgisayar üreticilerinin, ilk önyükleme aşamasında kendi logolarını ve diğer markalama öğelerini bilgisayar ekranında görüntüleyecek şekilde ürün yazılımını özelleştirmelerine olanak tanır.
Firmware Modern UEFI, çeşitli formatlardaki görüntüler için görüntü ayrıştırıcılar içerir farklı (BMP, GIF, JPEG, PCX ve TGA), saldırı vektörünü önemli ölçüde genişleten ve dolayısıyla bir güvenlik açığının gözden kaçma olasılığı. Aslında Binarly ekibi Insyde, AMI ve Phoenix donanım yazılımında kullanılan görüntü ayrıştırıcılarda 29 sorun buldu; bunlardan 15'i keyfi kod yürütme için kullanılabilirdi.
"Bu saldırı vektörü, çoğu uç nokta güvenlik çözümünü atlayarak ve değiştirilmiş bir logo görüntüsüne sahip bir ESP bölümünde veya ürün yazılımı kapsülünde varlığını sürdürecek gizli bir ürün yazılımı önyükleme kiti sunarak saldırgana bir avantaj sağlayabilir."
Güvenlik açığı, özel hazırlanmış görüntü dosyalarının enjeksiyonundan kaynaklanıyorUEFI güvenlik özelliklerini devre dışı bırakmak, UEFI önyükleme sırasını değiştirmek ve dolayısıyla bir saldırganın sisteme uzaktan erişmesine veya bir saldırganın bir hedeften fiziksel erişim elde etmesine izin vermek için ESP bölümüne yerel ayrıcalıklı erişim sağlayabilen .
Gibi, Bu güvenlik açıkları tüm sistemin güvenliğini tehlikeye atabilir, Intel Boot Guard da dahil olmak üzere her türlü güvenli önyükleme gibi "işletim sistemi alt" güvenlik önlemlerini etkisiz hale getiriyor. Bu düzeyde bir uzlaşma, saldırganların etkilenen sistemler üzerinde derin kontrol sahibi olabileceği anlamına gelir.
"Bazı durumlarda saldırgan, bu kötü amaçlı görüntüleri yüklemek için satıcının sağladığı logo özelleştirme arayüzünü kullanabilir."
Bu yeni risk kullanıcılar ve kuruluşlar için büyük bir endişe yaratıyor Intel, Acer, Lenovo gibi büyük üreticilerin ve AMI, Insyde ve Phoenix gibi UEFI ürün yazılımı satıcılarının cihazlarına güveniyorlar.
Şu ana kadar, herhangi bir kamuya açık istismar yayınlanmadığından ve şu anda kamuya açık olan bazı güvenlik açıkları, LogoFAIL güvenlik açıklarını keşfeden Binarly araştırmacıları tarafından farklı şekilde derecelendirildiğinden, ciddiyetini belirlemek zordur.
Açıklama ilk halka açık gösteriyi işaret ediyor ilgili saldırı yüzeylerinin grafik görüntü analizörleri ile Araştırmacılar Rafal Wojtczuk ve Alexander Tereshkin'in kötü amaçlı yazılım kalıcılığı için bir BMP görüntü ayrıştırıcı hatasından nasıl yararlanılabileceğini sunduğu 2009'dan bu yana UEFI sistem donanım yazılımına entegre edilmiştir.
BlackLotus veya BootHole'un aksine, LogoFAIL'in önyükleyiciyi veya ürün yazılımı bileşenini değiştirerek çalışma zamanının bütünlüğünü bozmadığını belirtmekte fayda var.
Son olarak, onun hakkında daha fazla bilgi edinmekle ilgileniyorsanayrıntılarını kontrol edebilirsiniz. aşağıdaki bağlantı.