LogoFAIL, serangan UEFI jenis baru yang mempengaruhi Windows dan Linux

LogoGAGAL

LogoFAIL: kerentanan UEFI kritis

Peneliti dari Binarly, mengumumkan berita bahwa kerentanan baru telah ditemukanue bertujuan untuk antarmuka firmware terpadu yang dapat diperluas (UEFI) bertanggung jawab untuk mem-boot perangkat modern yang menjalankan Windows atau Linux.

Dibaptis sebagai "LogoFAIL", kerentanan ini mengeksploitasi bug yang telah hadir selama bertahun-tahun di penganalisis gambar UEFI, memungkinkan kode berbahaya dieksekusi pada tahap awal proses booting, sehingga membahayakan keamanan platform.

Semua perangkat Windows dan Linux dikatakan rentan hingga serangan firmware LogoFAIL baru yang memengaruhi berbagai model komputer dari berbagai produsen. Serangan ini menonjol karena kemudahan eksekusinya, dampaknya terhadap model konsumen dan profesional, serta tingkat kontrol yang tinggi terhadap perangkat yang terinfeksi. LogoFAIL dapat dijalankan dari jarak jauh, melewati mekanisme pertahanan tradisional dan membahayakan keamanan platform pada tahap awal proses booting.

Tentang LogoFAIL

LogoFAIL berfokus pada logo, khususnya logo vendor perangkat keras, yang ditampilkan di layar pada awal proses booting saat UEFI masih berjalan. Penganalisis gambar yang diintegrasikan ke dalam UEFI dari tiga IBV utama menghadirkan selusin kerentanan kritis yang hingga kini luput dari perhatian. Dengan mengganti gambar logo yang sah dengan versi yang dirancang khusus Untuk mengeksploitasi kerentanan ini, LogoFAIL memungkinkan eksekusi kode berbahaya pada tahap startup penting yang dikenal sebagai DXE, (Lingkungan Eksekusi Pengemudi. ).

Peneliti biner menjelaskan dalam dokumen teknis yang tsegera setelah eksekusi dilakukan kode arbitrer selama fase DXE, keamanan platform terganggu. Dari titik ini Anda mendapatkan kendali penuh atas memori, disk, dan bahkan sistem operasi perangkat target yang akan dijalankan. Setelah itu, LogoFAIL dapat mengirimkan payload tahap kedua, menempatkan executable pada hard drive bahkan sebelum sistem operasi utama melakukan booting.

Untuk menunjukkan kerentanannya, demonstrasi eksploitasi ini disajikan melalui video ilustrasi yang disiapkan oleh para peneliti. Kerentanan ini merupakan subjek dari pengungkapan terkoordinasi besar-besaran, yang diterbitkan pada hari Rabu, yang melibatkan partisipasi perusahaan yang mewakili hampir seluruh ekosistem prosesor x64 dan ARM.

Untuk lolos pemeriksaan keamanan, alat ini menginstal firmware UEFI yang ditandatangani secara kriptografis yang sama dengan yang sudah digunakan, hanya memodifikasi gambar logo, yang tidak memerlukan tanda tangan digital yang valid. Dalam banyak kasus, alat IBV ditandatangani secara digital, sehingga mengurangi risiko keterlibatan perlindungan titik akhir.

Dalam whitepaper yang menyertai presentasi, para peneliti menjelaskan tahapan serangan LogoFAIL sebagai berikut:

“Seperti yang ditunjukkan pada gambar di atas, serangan LogoFAIL dapat dibagi menjadi tiga fase berbeda. Pertama, penyerang menyiapkan gambar logo berbahaya yang disimpannya di ESP atau di bagian pembaruan firmware yang tidak ditandatangani. Kemudian restart perangkat.

Selama proses booting, firmware yang rentan memuat logo ESP yang berbahaya dan menganalisisnya menggunakan penganalisis gambar yang rentan. Hal ini memungkinkan penyerang untuk membajak alur eksekusi dengan mengeksploitasi kelemahan pada parser itu sendiri. Dengan mengeksploitasi ancaman ini, penyerang dapat mengeksekusi kode arbitrer selama fase DXE, yang setara dengan membahayakan keamanan platform sepenuhnya. »

Tingkat bahaya LogoFAIL disebabkan oleh potensi infeksi jarak jauh dan kemampuan mereka untuk menghindari mekanisme pertahanan tradisional semakin memperbesar risiko yang ada. Tingginya tingkat kontrol terhadap perangkat yang terinfeksi menimbulkan kekhawatiran tentang persistensi dan deteksi ancaman ini, bahkan setelah patch keamanan diterapkan.

Terakhir, produsen komputer, pengembang firmware, dan vendor keamanan harus bekerja sama dengan cepat untuk mengembangkan patch guna melawan ancaman ini. Besarnya kerentanan ini juga menyoroti pentingnya memperkuat keamanan proses booting dan mengevaluasi kembali mekanisme pertahanan yang ada untuk memastikan perlindungan yang efektif terhadap serangan canggih tersebut.

Akhirnya Jika Anda tertarik untuk mengetahui lebih banyak tentang itu, anda dapat memeriksa rincians di tautan berikut.


tinggalkan Komentar Anda

Alamat email Anda tidak akan dipublikasikan. Bidang yang harus diisi ditandai dengan *

*

*

  1. Penanggung jawab data: Miguel Ángel Gatón
  2. Tujuan data: Mengontrol SPAM, manajemen komentar.
  3. Legitimasi: Persetujuan Anda
  4. Komunikasi data: Data tidak akan dikomunikasikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Basis data dihosting oleh Occentus Networks (UE)
  6. Hak: Anda dapat membatasi, memulihkan, dan menghapus informasi Anda kapan saja.