LogoFAIL: lỗ hổng UEFI nghiêm trọng
Các nhà nghiên cứu từ Binarly đã công bố tin tức rằng một lỗ hổng mới đã được phát hiện rằngue hướng tới các giao diện phần mềm có thể mở rộng thống nhất (UEFI) chịu trách nhiệm khởi động các thiết bị hiện đại chạy Windows hoặc Linux.
Được rửa tội là "LogoFAIL", lỗ hổng này khai thác lỗi đã có mặt nhiều năm trong máy phân tích hình ảnh UEFI, cho phép mã độc được thực thi trong giai đoạn đầu của quá trình khởi động, do đó ảnh hưởng đến tính bảo mật của nền tảng.
Tất cả các thiết bị Windows và Linux được cho là dễ bị tấn công đến cuộc tấn công phần mềm LogoFAIL mới ảnh hưởng đến nhiều mẫu máy tính từ nhiều nhà sản xuất khác nhau. Cuộc tấn công nổi bật vì dễ thực hiện, tác động đến người tiêu dùng và người dùng chuyên nghiệp, cũng như mức độ kiểm soát cao đối với các thiết bị bị nhiễm. LogoFAIL có thể được thực thi từ xa, bỏ qua các cơ chế phòng thủ truyền thống và xâm phạm bảo mật nền tảng trong giai đoạn đầu của quá trình khởi động.
Giới thiệu về LogoFAIL
LogoFAIL tập trung vào logo, đặc biệt là logo của các nhà cung cấp phần cứng, được hiển thị trên màn hình khi bắt đầu quá trình khởi động trong khi UEFI vẫn đang chạy. Các máy phân tích hình ảnh được tích hợp vào UEFI của ba IBV chính có hàng tá lỗ hổng nghiêm trọng mà cho đến nay vẫn chưa được chú ý. Bằng cách thay thế hình ảnh logo hợp pháp bằng các phiên bản được thiết kế đặc biệt Để khai thác những lỗ hổng này, LogoFAIL cho phép thực thi mã độc ở giai đoạn khởi động quan trọng được gọi là DXE, (Môi trường thực thi trình điều khiển. ).
Các nhà nghiên cứu nhị phân giải thích trong một tài liệu kỹ thuật mà tngay khi việc thực hiện được thực hiện mã tùy ý trong giai đoạn DXE, tính bảo mật của nền tảng bị xâm phạm. Từ thời điểm này, bạn có toàn quyền kiểm soát bộ nhớ, ổ đĩa và thậm chí cả hệ điều hành của thiết bị mục tiêu sẽ được chạy. Sau đó, LogoFAIL có thể cung cấp tải trọng giai đoạn thứ hai, đặt tệp thực thi vào ổ cứng ngay cả trước khi hệ điều hành chính khởi động.
Để chỉ ra lỗ hổng, một minh họa về cách khai thác này đã được trình bày thông qua một video minh họa do các nhà nghiên cứu chuẩn bị. Các lỗ hổng bảo mật là chủ đề của một tiết lộ phối hợp lớn, được công bố vào thứ Tư, liên quan đến sự tham gia của các công ty đại diện cho gần như toàn bộ hệ sinh thái bộ xử lý x64 và ARM.
Để vượt qua kiểm tra bảo mật, công cụ này sẽ cài đặt cùng một chương trình cơ sở UEFI được ký bằng mật mã đã được sử dụng, chỉ sửa đổi hình ảnh logo mà không yêu cầu chữ ký số hợp lệ. Trong nhiều trường hợp, công cụ IBV được ký điện tử, giảm nguy cơ liên quan đến các biện pháp bảo vệ điểm cuối.
Trong sách trắng kèm theo bài thuyết trình, các nhà nghiên cứu đã mô tả các giai đoạn của cuộc tấn công LogoFAIL như sau:
“Như được minh họa trong hình trên, một cuộc tấn công LogoFAIL có thể được chia thành ba giai đoạn riêng biệt. Đầu tiên, kẻ tấn công chuẩn bị một hình ảnh logo độc hại mà nó lưu trữ trong ESP hoặc trong phần chưa được ký của bản cập nhật chương trình cơ sở. Sau đó khởi động lại thiết bị.
Trong quá trình khởi động, phần sụn dễ bị tấn công sẽ tải logo ESP độc hại và phân tích nó bằng bộ phân tích hình ảnh dễ bị tấn công. Điều này cho phép kẻ tấn công chiếm quyền điều khiển luồng thực thi bằng cách khai thác lỗ hổng trong chính trình phân tích cú pháp. Bằng cách khai thác mối đe dọa này, kẻ tấn công có thể thực thi mã tùy ý trong giai đoạn DXE, tương đương với việc xâm phạm hoàn toàn tính bảo mật của nền tảng. »
Mức độ nguy hiểm của LogoFAIL là do nó có khả năng lây nhiễm từ xa và khả năng né tránh các cơ chế phòng thủ truyền thống của chúng càng làm tăng thêm những rủi ro liên quan. Mức độ kiểm soát cao đối với các thiết bị bị lây nhiễm làm dấy lên lo ngại về tính tồn tại và khả năng phát hiện mối đe dọa này, ngay cả sau khi các bản vá bảo mật được triển khai.
Cuối cùng, điều quan trọng là các nhà sản xuất máy tính, nhà phát triển chương trình cơ sở và nhà cung cấp bảo mật phải nhanh chóng hợp tác với nhau để phát triển các bản vá nhằm chống lại mối đe dọa này. Mức độ nghiêm trọng của lỗ hổng này cũng nêu bật tầm quan trọng của việc tăng cường bảo mật của quá trình khởi động và đánh giá lại các cơ chế phòng thủ hiện có để đảm bảo bảo vệ hiệu quả trước các cuộc tấn công tinh vi như vậy.
Cuối cùng Nếu bạn muốn biết thêm về nó, bạn có thể kiểm tra các chi tiếts trong liên kết sau.