01/12/23
Многочисленные уязвимости безопасности с общим названием LogoFAIL позволяют злоумышленникам вмешиваться в процесс загрузки компьютерных устройств и внедрять буткиты, благодаря проблемам, связанным с компонентами анализа изображений, которые производители материнских плат используют для отображения фирменных логотипов при старте компьютера. Под угрозой как устройства с архитектурой x86, так и ARM, согласно Securitylab.
Исследователи из компании Binarly, специализирующейся на безопасности цепочек поставок прошивок для материнских плат, отметили в своём недавнем отчёте, что брендирование вносит ненужные риски безопасности, позволяя хакерам выполнять вредоносные действия путём внедрения зловредных изображений в раздел EFI System Partition (ESP).
Возможность производить атаки на встроенный загрузочный интерфейс компьютера подобным способом была продемонстрировано ещё в далёком 2009 году, когда исследователи Рафал Войтчук и Александр Терешкин показали, как можно использовать баг анализатора BMP-изображений для заражения BIOS вредоносным ПО.
Обнаружение уязвимостей LogoFAIL началось как небольшой исследовательский проект по изучению поверхностей атаки с помощью компонентов для анализа изображений в контексте пользовательского или устаревшего кода для анализа во встроенном ПО UEFI.
Исследователи обнаружили, что злоумышленник может хранить вредоносное изображение или логотип в системном разделе EFI или в неподписанных разделах обновления встроенного программного обеспечения.
«Когда эти образы анализируются во время загрузки, может сработать уязвимость, и контролируемая злоумышленником полезная нагрузка может быть произвольно запущена, чтобы перехватить поток выполнения и обойти функции безопасности, такие как Secure Boot, Intеl Boot Guard, AMD Hardware-Validated Boot или ARM TrustZone», — сообщили эксперты Binarly.
Заражение вредоносным ПО таким образом обеспечивает стойкость в системе, которая практически не обнаруживается, как это было, например, с вредоносом CosmicStrand, о котором мы рассказывали в прошлом году. LogoFAIL абсолютно не влияет на целостность системы в режиме выполнения, поскольку нет необходимости изменять загрузчик или прошивку.
Исследователи подчёркивают, что уязвимости LogoFAIL не зависят от конкретного вендора железа и влияют на устройства и чипы от самых разных производителей, затрагивая UEFI-прошивки как потребительских, так и корпоративных устройств.
Binarly уже определила, что сотни устройств от Intel, Acer, Lenovo и других производителей потенциально уязвимы, как и три основных независимых поставщика пользовательского кода прошивки UEFI: AMI, Insyde и Phoenix.
Однако также стоит отметить, что точный масштаб воздействия LogoFAIL ещё предстоит определить.
«Хотя мы все ещё находимся в процессе понимания реальных масштабов LogoFAIL, мы уже обнаружили, что сотни устройств потребительского и корпоративного уровня, потенциально уязвимы для этой новой атаки», — сообщили исследователи.
Полная техническая информация о LogoFAIL будет представлена 6 декабря на конференции по безопасности Black Hat Europe в Лондоне. Исследователи уже раскрыли выявленные результаты нескольким поставщикам устройств, а также основным поставщикам UEFI.
