LogoFAIL: kritikus UEFI biztonsági rések
Kutatók innen: Binárisan bejelentette a hírt, hogy egy új sebezhetőséget fedeztek felAz ue egységes, bővíthető firmware interfészek kialakítására törekszik (UEFI) felelős a Windows vagy Linux rendszerű modern eszközök indításáért.
néven keresztelték meg "LogoFAIL", ez a sérülékenység kihasználja a hibákat amelyek évek óta jelen vannak a UEFI képelemzők, lehetővé teszi a rosszindulatú kódok futtatását a rendszerindítási folyamat korai szakaszában, ami veszélyezteti a platform biztonságát.
Állítólag minden Windows és Linux eszköz sebezhető az új LogoFAIL firmware-támadáshoz, amely számos gyártó számítógép-modelljét érinti. A támadás kiemelkedik egyszerű végrehajtásával, a fogyasztói és professzionális modellekre gyakorolt hatásával, valamint a fertőzött eszközök feletti magas szintű ellenőrzésével. A LogoFAIL távolról is végrehajtható, megkerülve a hagyományos védelmi mechanizmusokat, és veszélyeztetve a platform biztonságát a rendszerindítási folyamat korai szakaszában.
A LogoFAIL-ről
A LogoFAIL a logókra összpontosít, különösen a hardvergyártók logóira, amelyek a rendszerindítási folyamat elején jelennek meg a képernyőn, miközben az UEFI még fut. A három fő IBV UEFI-jébe integrált képelemzők tucatnyi kritikus sérülékenységet mutatnak be, amelyeket eddig észre sem vettek. A jogos logóképek speciálisan tervezett változatokkal való helyettesítésével A biztonsági rések kihasználásához a LogoFAIL lehetővé teszi a rosszindulatú kódok futtatását a DXE néven ismert létfontosságú indítási szakaszban, (Driver Execution Environment. ).
Bináris kutatók kifejtették műszaki dokumentumban, hogy tamint a végrehajtást végrehajtják tetszőleges kód a DXE fázisban, a platform biztonsága sérül. Ettől kezdve teljes irányítást szerez a futtatni kívánt céleszköz memóriája, lemeze, sőt operációs rendszere felett. Azt követően, A LogoFAIL másodlagos hasznos terhelést tud szállítani, és egy végrehajtható fájlt helyez el a merevlemezen még a fő operációs rendszer indulása előtt.
A sebezhetőség bemutatása érdekében a kutatók által készített szemléltető videón keresztül bemutatták ezt a kizsákmányolást. A sérülékenységek egy nagyszabású, összehangolt nyilvánosságra hozatal tárgyát képezik, amelyet szerdán tettek közzé, és a szinte teljes x64-es és ARM processzorökoszisztémát képviselő cégek részvételével.
A biztonsági ellenőrzések átmenéséhez az eszköz ugyanazt a kriptográfiailag aláírt UEFI firmware-t telepíti, amely már használatban van, csak az embléma képét módosítja, amelyhez nem szükséges érvényes digitális aláírás. Sok esetben az IBV eszközt digitálisan aláírják, ami csökkenti a végpontvédelem bevonásának kockázatát.
Az előadást kísérő fehér könyvben a kutatók a következőképpen írták le a LogoFAIL támadás szakaszait:
„Amint a fenti képen látható, a LogoFAIL támadás három különálló fázisra osztható. Először a támadó egy rosszindulatú emblémaképet készít, amelyet az ESP-ben vagy a firmware-frissítés aláíratlan részében tárol. Ezután indítsa újra a készüléket.
A rendszerindítási folyamat során a sérülékeny firmware betölti a rosszindulatú ESP logót, és egy sebezhető képelemző segítségével elemzi azt. Ez lehetővé teszi a támadó számára, hogy magának az értelmezőnek a hibáját kihasználva eltérítse a végrehajtási folyamatot. Ennek a fenyegetésnek a kihasználásával a támadó tetszőleges kódot futtathat a DXE fázisban, ami egyenértékű a platform biztonságának teljes veszélyeztetésével. »
A LogoFAIL veszélyességi szintje a távoli fertőzés lehetőségének köszönhető és az a képességük, hogy kijátszsák a hagyományos védekezési mechanizmusokat, kiemeli az ezzel járó kockázatokat. A fertőzött eszközök feletti magas szintű ellenőrzés aggodalomra ad okot a fenyegetés fennmaradását és észlelését illetően, még a biztonsági javítások telepítése után is.
Végül fontos, hogy a számítógépgyártók, a firmware-fejlesztők és a biztonsági gyártók gyorsan együttműködjenek a fenyegetés elleni javítások fejlesztésében. A sérülékenység nagysága rávilágít a rendszerindítási folyamat biztonságának megerősítésére és a meglévő védelmi mechanizmusok újraértékelésére is, hogy hatékony védelmet biztosítsanak az ilyen kifinomult támadásokkal szemben.
Végül Ha érdekel, hogy többet tudjon meg róla, ellenőrizheti a részletekets a következő linken.