LogoFAIL: UEFI ranjivosti

LogoFAIL je napada na UEFI ranjivosti koje može omogućiti potencijalne napade kroz velike nedostatke u bibliotekama za raščlanjivanje slika ugrađenim u upravljački softver (eng. firmware).

UEFI ranjivosti

LogoFAIL: UEFI ranjivosti; Source: Bing Image Creator

UVOD

Sigurnosni istraživači su otkrili ranjivosti u upravljačkom softveru UEFI sistema velikih proizvođača za koje kažu da bi mogli omogućiti napadačima da otmu loše održavane biblioteke slika kako bi tiho isporučili zlonamjerne korisne sadržaje koji zaobilaze Secure Boot, Intel Boot Guard, AMD HardwareValidated Boot i druge mehanizme zaštite.

Otkriveni skup ranjivosti je nazvan “LogoFail” i omogućava napadačima da koriste zlonamjerne datoteke slika koje se učitavaju upravljačkim softverom tokom faze pokretanja kao sredstvo za neprimjetnu isporuku aktivnih dijelova virusa kao što su bootkits.

 

LOGOFAIL FUNKCIONISANJE

Zloupotreba analizatora slike za napade na Unified Extensible Firmware InterfaceUEFI upravljački softver je demonstrirana još 2009. godine kada je pokazano kako BMP datoteka može biti iskorištena za infekciju BIOS-a.

Sada su se sigurnosni istraživači bavili površinama napada na komponente analizatora slike u kontekstu prilagođenog ili zastarjelog kôda za raščlanjivanje u UEFI upravljačkom softveru. To je dovelo do otkrića da napadač može pohraniti zlonamjernu sliku ili logotip na EFI sistemsku particiju ili u nepotpisane dijelove ažuriranja upravljačkog softvera.

Ubacivanje zlonamjernog softvera na ovaj način osigurava njegovu postojanost na uređaju koja je praktično neotkrivena, kao što je opisano u MoonBounce napadu koji je iskorištavao UEFI komponente. LogoFAIL ranjivosti ne utiču na integritet izvršavanja, jer nema potrebe za modifikacijom program za podizanje sistema (eng. bootloader) ili upravljačkog softvera, što je metoda koja se vidi kod ranjivosti BlackLotus bootkit zlonamjernog softvera.

 

LOGOFAIL UTICAJ

Ovdje je važno naglasiti da LogoFAIL ranjivosti ne utiču na određeni čip, već na više proizvođača i čipova. To znači da je ovaj problem prisutan u proizvodima mnogih velikih proizvođača uređaja koji koriste UEFI upravljački softver u potrošačkim i poslovnim uređajima. Sigurnosni istraživači kompanije Binarly koji su otkrili ove ranjivosti su već utvrdili da hiljade uređaja proizvođača kao što su Intel, Acer, Lenovo i drugi potencijalno ranjivi, kao i tri glavna nezavisna provajdera prilagođenog UEFI kôda upravljačkog softvera: AMI, Insyde i Phoenix.

Ipak, treba napomenuti da se tačan obim uticaja ovih ranjivosti još uvijek utvrđuje. Svi tehnički detalji biće objavljeni na Black Hat Europe konferenciji 6. decembra u Londonu.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.