LogoFAIL: krytyczne luki w zabezpieczeniach UEFI
Badacze z Binarly ogłosiło wiadomość, że odkryto nową lukę w zabezpieczeniachue ma na celu ujednolicone, rozszerzalne interfejsy oprogramowania sprzętowego (UEFI) odpowiedzialny za uruchamianie nowoczesnych urządzeń z systemem Windows lub Linux.
Ochrzczony jako „LogoFAIL” – luka ta wykorzystuje błędy które od lat obecne są w analizatory obrazu UEFI, umożliwiając wykonanie złośliwego kodu na wczesnych etapach procesu rozruchu, zagrażając w ten sposób bezpieczeństwu platformy.
Mówi się, że wszystkie urządzenia z systemami Windows i Linux są podatne na ataki na nowy atak oprogramowania sprzętowego LogoFAIL wpływający na szeroką gamę modeli komputerów różnych producentów. Atak wyróżnia się łatwością wykonania, wpływem na modele konsumenckie i profesjonalne, a także wysokim poziomem kontroli nad zainfekowanymi urządzeniami. LogoFAIL można uruchomić zdalnie, omijając tradycyjne mechanizmy obronne i zagrażając bezpieczeństwu platformy na wczesnych etapach procesu uruchamiania.
O LogoFAIL
LogoFAIL koncentruje się na logo, zwłaszcza dostawców sprzętu, które są wyświetlane na ekranie na początku procesu rozruchu, gdy UEFI jest nadal uruchomione. Analizatory obrazu zintegrowane z UEFI trzech głównych IBV mają kilkanaście krytycznych luk w zabezpieczeniach, które do tej pory pozostały niezauważone. Poprzez zastąpienie legalnych obrazów logo specjalnie zaprojektowanymi wersjami Aby wykorzystać te luki, LogoFAIL umożliwia wykonanie złośliwego kodu na kluczowym etapie uruchamiania, znanym jako DXE, (Środowisko wykonawcze sterownika. ).
Wyjaśnili badacze binarni w dokumencie technicznym, który tzaraz po wykonaniu egzekucji dowolnego kodu w fazie DXE, bezpieczeństwo platformy jest zagrożone. Od tego momentu zyskujesz pełną kontrolę nad pamięcią, dyskiem, a nawet systemem operacyjnym urządzenia docelowego, które będzie uruchamiane. Po tym, LogoFAIL może dostarczyć ładunek drugiego etapu, umieszczając plik wykonywalny na dysku twardym nawet przed uruchomieniem głównego systemu operacyjnego.
Aby pokazać lukę, badacze zaprezentowali demonstrację wykorzystania tego luki w postaci ilustracyjnego filmu wideo przygotowanego przez badaczy. Luki są przedmiotem masowego, skoordynowanego ujawnienia, opublikowanego w środę, w którym biorą udział firmy reprezentujące niemal cały ekosystem procesorów x64 i ARM.
Aby przejść kontrolę bezpieczeństwa, narzędzie instaluje to samo, podpisane kryptograficznie oprogramowanie UEFI, które jest już używane, modyfikując jedynie obraz logo, który nie wymaga ważnego podpisu cyfrowego. W wielu przypadkach narzędzie IBV jest podpisane cyfrowo, co zmniejsza ryzyko zaangażowania zabezpieczeń punktów końcowych.
W białej księdze dołączonej do prezentacji badacze opisali etapy ataku LogoFAIL w następujący sposób:
„Jak pokazano na powyższym obrazku, atak LogoFAIL można podzielić na trzy odrębne fazy. Najpierw osoba atakująca przygotowuje złośliwy obraz logo, który przechowuje w ESP lub w niepodpisanej sekcji aktualizacji oprogramowania sprzętowego. Następnie uruchom ponownie urządzenie.
Podczas procesu uruchamiania podatne na ataki oprogramowanie ładuje złośliwe logo ESP i analizuje je za pomocą podatnego analizatora obrazu. Pozwala to atakującemu przejąć kontrolę nad przebiegiem wykonywania, wykorzystując lukę w samym parserze. Wykorzystując to zagrożenie, osoba atakująca może wykonać dowolny kod w fazie DXE, co jest równoznaczne z całkowitym naruszeniem bezpieczeństwa platformy. »
Poziom zagrożenia LogoFAIL wynika z możliwości zdalnej infekcji a ich zdolność do omijania tradycyjnych mechanizmów obronnych uwydatnia związane z tym ryzyko. Wysoki poziom kontroli nad zainfekowanymi urządzeniami budzi obawy co do trwałości i wykrycia tego zagrożenia, nawet po wdrożeniu poprawek bezpieczeństwa.
Wreszcie ważne jest, aby producenci komputerów, twórcy oprogramowania sprzętowego i dostawcy zabezpieczeń szybko współpracowali w celu opracowania poprawek przeciwdziałających temu zagrożeniu. Skala tej luki podkreśla również znaczenie wzmocnienia bezpieczeństwa procesu rozruchu i ponownej oceny istniejących mechanizmów obronnych w celu zapewnienia skutecznej ochrony przed tak wyrafinowanymi atakami.
W końcu Jeśli chcesz dowiedzieć się więcej na ten temat, możesz sprawdzić szczegółys w poniższym linku.