LogoFAIL、Windows と Linux に影響を与える新しいタイプの UEFI 攻撃

David Y. Naranjo

4分

ロゴ失敗

LogoFAIL: UEFI の重大な脆弱性

からの研究者 Binarly、新たな脆弱性が発見されたとのニュースを発表ue は統合された拡張可能なファームウェア インターフェイスを目指しています (UEFI) Windows または Linux を実行する最新のデバイスの起動を担当します。

バプテスマ 「LogoFAIL」、この脆弱性はバグを悪用します 何年も前から存在しているもの UEFI画像アナライザー、 ブート プロセスの初期段階で悪意のあるコードが実行されることを許可し、プラットフォームのセキュリティが危険にさらされます。

すべての Windows および Linux デバイスが脆弱であると言われています さまざまなメーカーの幅広いコンピューター モデルに影響を与える新しい LogoFAIL ファームウェア攻撃。 この攻撃は、実行の容易さ、消費者向けおよびプロフェッショナル向けモデルへの影響、そして感染したデバイスに対する高度な制御によって際立っています。 LogoFAIL はリモートで実行され、従来の防御メカニズムをバイパスし、ブート プロセスの初期段階でプラットフォームのセキュリティを侵害する可能性があります。

ロゴFAILについて

LogoFAIL はロゴ、特にハードウェア ベンダーのロゴに焦点を当てています。これらは、UEFI がまだ実行されている間、起動プロセスの開始時に画面に表示されます。 XNUMX つの主要な IBV の UEFI に統合された画像アナライザーには、これまで気づかれていなかった十数の重大な脆弱性が存在します。 正規のロゴ画像を特別にデザインされたバージョンに置き換えることにより、 これらの脆弱性を悪用するには、LogoFAIL DXE として知られる重要な起動段階で悪意のあるコードの実行を許可します。 (ドライバー実行環境。)。

バイナリー研究者が解説 技術文書では、死刑執行が行われるとすぐに DXEフェーズ中の任意のコード、 プラットフォームのセキュリティが危険にさらされます。 この時点から、メモリ、ディスク、さらには実行されるターゲット デバイスのオペレーティング システムを完全に制御できるようになります。 その後、 LogoFAIL は、ハード ドライブに実行可能ファイルを配置して、第 XNUMX 段階のペイロードを配信できます。 メインのオペレーティング システムが起動する前であっても。

脆弱性を示すために、この悪用のデモンストレーションが、研究者が作成した説明ビデオを通じて提示されました。 これらの脆弱性は、水曜日に公開された大規模な調整された開示の対象となっており、x64 および ARM プロセッサのエコシステムのほぼ全体を代表する企業が参加しています。

セキュリティ チェックに合格するために、このツールは、すでに使用されているのと同じ暗号署名された UEFI ファームウェアをインストールし、ロゴ画像のみを変更します。これには有効なデジタル署名は必要ありません。 多くの場合、IBV ツールはデジタル署名されており、エンドポイント保護が関与するリスクが軽減されます。

プレゼンテーションに付随するホワイトペーパーの中で、研究者らは、LogoFAIL 攻撃の段階を次のように説明しました。

「上の図に示されているように、LogoFAIL 攻撃は XNUMX つの異なるフェーズに分けることができます。 まず、攻撃者は悪意のあるロゴ イメージを準備し、ESP またはファームウェア アップデートの未署名セクションに保存します。 次に、デバイスを再起動します。

起動プロセス中に、脆弱なファームウェアは悪意のある ESP ロゴをロードし、脆弱なイメージ アナライザーを使用してそれを分析します。 これにより、攻撃者はパーサー自体の欠陥を悪用して実行フローをハイジャックすることができます。 この脅威を悪用すると、攻撃者は DXE フェーズ中に任意のコードを実行できます。これは、プラットフォームのセキュリティを完全に侵害することと同じです。 »

LogoFAIL の危険レベルは遠隔感染の可能性によるものです そして、従来の防御メカニズムを回避する彼らの能力は、それに伴うリスクを強調します。 感染したデバイスに対する高度な制御により、セキュリティ パッチが適用された後でも、この脅威が持続し検出されるのではないかという懸念が生じます。

最後に、コンピューター メーカー、ファームウェア開発者、セキュリティ ベンダーが迅速に協力して、この脅威に対抗するためのパッチを開発することが重要です。 この脆弱性の規模は、ブート プロセスのセキュリティを強化し、このような高度な攻撃に対する効果的な保護を確保するために既存の防御メカニズムを再評価することの重要性も浮き彫りにしています。

最後に あなたがそれについてもっと知りたいのなら、 詳細を確認できます次のリンクのs。