LogoFAIL 是一组影响 UEFI 中使用的不同图像分析库的漏洞
几天前, 二元研究人员透露,通过博客文章, 使用的图像分析代码中存在一系列漏洞 固件 UEFI 影响 Windows 和 Linux 系统,包括基于 x86 和 ARM 的设备。 这些漏洞被称为 集体地 标志失败 因为它们存在于 UEFI 图像分析器中,在系统启动时显示制造商的徽标。
脆弱性 由于将映像文件注入 EFI 系统分区而产生 (ESP),启动过程的关键组成部分。虽然这些漏洞不会直接影响运行时的完整性,但它们允许恶意软件存储在系统中,从而为持续攻击打开了大门。
关于LogoFAIL
二元研究人员 他们提到这些漏洞是在分析联想固件时发现的 构建于 Insyde、AMI 和 Phoenix 的平台上,但英特尔和宏碁的固件也被认为可能容易受到攻击。
脆弱性问题 是因为 大多数个人电脑制造商 他们使用由少数公司开发的 UEFI 称为独立 BIOS 供应商 (IBV),允许计算机制造商自定义固件,以便在初始启动阶段在计算机屏幕上显示自己的徽标和其他品牌元素。
固件 现代 UEFI 包含各种格式图像的图像解析器 不同(BMP、GIF、JPEG、PCX 和 TGA), 这显着扩大了攻击向量 因此存在漏洞被忽视的可能性。事实上,Binarly 团队在 Insyde、AMI 和 Phoenix 固件中使用的图像解析器中发现了 29 个问题,其中 15 个可被利用来执行任意代码。
“这种攻击媒介可以通过绕过大多数端点安全解决方案并提供隐秘的固件启动套件来为攻击者提供优势,该套件将持续存在于 ESP 分区或带有修改后的徽标图像的固件胶囊中,”
该漏洞源于注入特制图像文件,它可以提供对 ESP 分区的本地特权访问,以禁用 UEFI 安全功能、修改 UEFI 启动顺序,从而允许攻击者远程访问系统或允许攻击者从目标获得物理访问。
因此, 这些漏洞可能会危及整个系统的安全, 使“子操作系统”安全措施(例如任何类型的安全启动)无效,包括英特尔 Boot Guard。这种程度的妥协意味着攻击者可以获得对受影响系统的深度控制。
“在某些情况下,攻击者可以使用供应商提供的徽标定制接口来上传这些恶意图像。”
这种新的风险 引起了用户和组织的主要关注 他们依赖英特尔、宏碁、联想等主要制造商的设备,以及 AMI、Insyde 和 Phoenix 等 UEFI 固件供应商的设备。
到目前为止,很难确定严重性,因为尚未发布任何公开漏洞,而且发现 LogoFAIL 漏洞的 Binarly 研究人员对一些现已公开的漏洞进行了不同的评级。
此次披露标志着首次公开示威 相关攻击面 带有图形图像分析仪 自 2009 年起就嵌入到 UEFI 系统固件中,当时研究人员 Rafal Wojtczuk 和 Alexander Tereshkin 介绍了如何利用 BMP 图像解析器错误来实现恶意软件持久性。
与 BlackLotus 或 BootHole 不同,值得注意的是,LogoFAIL 不会通过修改引导加载程序或固件组件来破坏运行时的完整性。
最后, 如果您有兴趣了解更多有关它的信息,您可以在中查看详细信息 以下链接。