LogoFAIL:嚴重的 UEFI 漏洞
研究人員來自 Binarly,宣布發現新漏洞的消息ue 旨在統一可擴展固件接口 (UEFI) 負責啟動運行 Windows 或 Linux 的現代化設備。
受洗為 “LogoFAIL”,該漏洞利用bug 多年來一直存在於 UEFI 影像分析儀, 允許惡意程式碼在啟動過程的早期階段執行,從而損害平台的安全性。
據說所有 Windows 和 Linux 裝置都容易受到攻擊 新的 LogoFAIL 韌體攻擊影響了不同製造商的多種電腦型號。 該攻擊因其易於執行、對消費者和專業模型的影響以及對受感染設備的高度控製而脫穎而出。 LogoFAIL 可以遠端執行,繞過傳統防禦機制並在啟動過程的早期階段損害平台安全。
關於LogoFAIL
LogoFAIL 專注於徽標,尤其是硬體供應商的徽標,當 UEFI 仍在運作時,它們會在開機過程開始時顯示在螢幕上。 整合到三個主要 IBV 的 UEFI 中的影像分析器存在十幾個關鍵漏洞,迄今為止這些漏洞尚未引起人們的注意。 透過以專門設計的版本取代合法的標誌圖像 為了利用這些漏洞,LogoFAIL 允許在稱為 DXE 的關鍵啟動階段執行惡意程式碼, (驅動程式執行環境。)。
二元研究者解釋 在一份技術文件中,t一旦執行完畢 DXE 階段的任意程式碼, 平台的安全性受到損害。 從這時起,您就可以完全控制記憶體、磁碟,甚至將運行的目標裝置的作業系統。 在那之後, LogoFAIL 可以提供第二階段有效負載,將可執行檔放置在硬碟上 甚至在主作業系統啟動之前。
為了展示該漏洞,研究人員透過製作的說明性影片演示了該漏洞的利用。 這些漏洞是周三發布的大規模協調披露的主題,涉及代表幾乎整個 x64 和 ARM 處理器生態系統的公司的參與。
為了通過安全檢查,該工具會安裝已使用的相同加密簽章 UEFI 韌體,僅修改標誌影像,不需要有效的數位簽章。 在許多情況下,IBV 工具經過數位簽名,從而降低了涉及端點保護的風險。
在簡報隨附的白皮書中,研究人員將 LogoFAIL 攻擊的各個階段描述如下:
「如上圖所示,LogoFAIL 攻擊可以分為三個不同的階段。 首先,攻擊者準備一個惡意徽標圖像,並將其儲存在 ESP 或韌體更新的未簽名部分中。 然後重新啟動設備。
在啟動過程中,存在漏洞的韌體會載入惡意 ESP 徽標,並使用存在漏洞的圖像分析器對其進行分析。 這允許攻擊者透過利用解析器本身的缺陷來劫持執行流。 透過利用該威脅,攻擊者可以在DXE階段執行任意程式碼,相當於徹底損害了平台的安全性。 »
LogoFAIL 的危險等級是由於其遠端感染的可能性 它們規避傳統防禦機制的能力加劇了所涉及的風險。 即使在實施安全性修補程式之後,對受感染設備的高度控制也會引起人們對這種威脅的持續存在和檢測的擔憂。
最後,電腦製造商、韌體開發商和安全供應商必須迅速合作開發修補程式來應對這一威脅,這一點很重要。 此漏洞的嚴重程度也凸顯了加強啟動製程安全性和重新評估現有防禦機制的重要性,以確保有效防範此類複雜攻擊。
終於 如果您有興趣了解更多信息, 你可以查看詳細信息在以下鏈接中。