Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

UEFI-буткит Bootkitty атакует Lenovo

04/12/24

hack137

Компания Binarly подтвердила, что недавно обнаруженный UEFI-буткит для Linux под названием «Bootkitty» использует уязвимость LogoFAIL для атаки на компьютеры с уязвимой прошивкой. Уязвимость CVE-2023-40238, впервые выявленная в ноябре 2023 года, связана с обработкой изображений в прошивке и позволяет злоумышленникам обходить защитные механизмы, включая Secure Boot, передаёт Securitylab.

ESET, которая первоначально задокументировала буткит, уточнила, что Bootkitty разработан студентами программы обучения кибербезопасности Best of the Best (BoB) в Корее. Проект направлен на привлечение внимания к рискам уязвимостей в UEFI и стимулирование мер по их предотвращению. Однако разработчики признали, что некоторые образцы буткита были раскрыты до планируемой презентации на конференции.

LogoFAIL представляет собой набор уязвимостей, обнаруженных в коде обработки изображений прошивок UEFI. Ошибки позволяют атакующему внедрять вредоносные изображения или логотипы в EFI System Partition (ESP) и, таким образом, перехватывать процесс загрузки.

По данным Binarly, вредоносный файл «logofail.bmp» содержит шелл-код, внедренный в конец изображения, а использование отрицательного значения высоты (0xfffffd00) приводит к уязвимости записи вне границ при парсинге. Такой механизм позволяет хакерам подменять списки сертификатов, авторизуя вредоносный загрузчик «bootkit.efi».

Bootkitty может затронуть устройства, не обновленные для защиты от LogoFAIL. Наиболее уязвимыми исследователи называют устройства Lenovo, в прошивке которых используются модули Insyde. Однако ESET предполагает, что разработчик тестирует вредоносное ПО на собственном оборудовании, и в будущем возможна поддержка более широкого спектра устройств.

Среди уязвимых моделей отмечены Lenovo IdeaPad Pro 5-16IRH8, Lenovo Legion 7-16IAX7 и Lenovo Yoga 9-14IRP8. Несмотря на то, что прошло более года с момента выявления LogoFAIL, многие производители не выпустили исправления.

Пользователям устройств без доступных обновлений рекомендуется ограничить физический доступ, включить Secure Boot, защитить настройки UEFI/BIOS паролем, отключить загрузку с внешних носителей и загружать обновления прошивки исключительно с официальных сайтов производителей.

Темы:ноутбукиLenovoУгрозыбуткитBinarly
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...