LogoFAIL: критични уязвимости на UEFI
Изследователи от Binarly, обяви новината, че е открита нова уязвимост, коятоue се стреми към унифицирани разширими интерфейси на фърмуера (UEFI) отговорен за зареждането на съвременни устройства, работещи под Windows или Linux.
Кръстен като „LogoFAIL“, тази уязвимост използва грешки които присъстват от години в UEFI анализатори на изображения, позволявайки злонамерен код да бъде изпълнен в ранните етапи на процеса на зареждане, като по този начин компрометира сигурността на платформата.
Твърди се, че всички устройства с Windows и Linux са уязвими към новата атака на фърмуера LogoFAIL, засягаща широка гама от модели компютри от различни производители. Атаката се отличава с лекотата на изпълнение, въздействието си върху потребителски и професионални модели, както и с високото си ниво на контрол върху заразените устройства. LogoFAIL може да се изпълни дистанционно, заобикаляйки традиционните защитни механизми и компрометирайки сигурността на платформата в ранните етапи на процеса на зареждане.
Относно LogoFAIL
LogoFAIL се фокусира върху лога, особено тези на доставчиците на хардуер, които се показват на екрана в началото на процеса на зареждане, докато UEFI все още работи. Анализаторите на изображения, интегрирани в UEFI на трите основни IBV, представят дузина критични уязвимости, които досега са оставали незабелязани. Чрез замяна на законни изображения на лого със специално проектирани версии За да се възползвате от тези уязвимости, LogoFAIL позволява изпълнението на злонамерен код в решаващ етап на стартиране, известен като DXE, (Среда за изпълнение на драйвер. ).
Binarly изследователи обясниха в технически документ, който tведнага след извършване на изпълнението на произволен код по време на DXE фазата, сигурността на платформата е компрометирана. От този момент получавате пълен контрол над паметта, диска и дори операционната система на целевото устройство, което ще се изпълнява. След това, LogoFAIL може да достави полезен товар от втори етап, като постави изпълним файл на твърдия диск дори преди основната операционна система да се зареди.
За да се покаже уязвимостта, беше представена демонстрация на тази експлоатация чрез илюстративно видео, подготвено от изследователите. Уязвимостите са обект на мащабно координирано разкриване, публикувано в сряда, включващо участието на компании, представляващи почти цялата x64 и ARM процесорна екосистема.
За да премине проверките за сигурност, инструментът инсталира същия криптографски подписан UEFI фърмуер, който вече се използва, като променя само изображението на логото, което не изисква валиден цифров подпис. В много случаи инструментът IBV е цифрово подписан, намалявайки риска от включването на защита на крайната точка.
В белия документ, придружаващ презентацията, изследователите описаха етапите на LogoFAIL атака, както следва:
„Както е показано на изображението по-горе, атаката LogoFAIL може да бъде разделена на три отделни фази. Първо, нападателят подготвя изображение на злонамерено лого, което съхранява в ESP или в неподписан раздел на актуализация на фърмуера. След това рестартирайте устройството.
По време на процеса на зареждане уязвимият фърмуер зарежда злонамереното лого на ESP и го анализира с помощта на анализатор на уязвими изображения. Това позволява на атакуващия да отвлече потока на изпълнение, като използва пропуск в самия анализатор. Използвайки тази заплаха, атакуващият може да изпълни произволен код по време на DXE фазата, което е еквивалентно на пълно компрометиране на сигурността на платформата. »
Нивото на опасност на LogoFAIL се дължи на неговия потенциал за дистанционно заразяване и способността им да избягват традиционните защитни механизми подчертават свързаните с това рискове. Високото ниво на контрол върху заразените устройства поражда загриженост относно устойчивостта и откриването на тази заплаха, дори след прилагане на корекции за сигурност.
И накрая, важно е производителите на компютри, разработчиците на фърмуер и доставчиците на сигурност да работят заедно бързо, за да разработят корекции за противодействие на тази заплаха. Степента на тази уязвимост също подчертава значението на укрепването на сигурността на процеса на зареждане и преоценката на съществуващите защитни механизми, за да се осигури ефективна защита срещу такива сложни атаки.
Накрая Ако се интересувате да научите повече за това, можете да проверите подробноститеs в следната връзка.