LogoFAIL: UEFI ranjivosti
LogoFAIL je napada na UEFI ranjivosti koje može omogućiti potencijalne napade kroz velike nedostatke u bibliotekama za raščlanjivanje slika ugrađenim u upravljački softver (eng. firmware).
UVOD
Sigurnosni istraživači su otkrili ranjivosti u upravljačkom softveru UEFI sistema velikih proizvođača za koje kažu da bi mogli omogućiti napadačima da otmu loše održavane biblioteke slika kako bi tiho isporučili zlonamjerne korisne sadržaje koji zaobilaze Secure Boot, Intel Boot Guard, AMD Hardware–Validated Boot i druge mehanizme zaštite.
Otkriveni skup ranjivosti je nazvan “LogoFail” i omogućava napadačima da koriste zlonamjerne datoteke slika koje se učitavaju upravljačkim softverom tokom faze pokretanja kao sredstvo za neprimjetnu isporuku aktivnih dijelova virusa kao što su bootkits.
LOGOFAIL FUNKCIONISANJE
Zloupotreba analizatora slike za napade na Unified Extensible Firmware Interface – UEFI upravljački softver je demonstrirana još 2009. godine kada je pokazano kako BMP datoteka može biti iskorištena za infekciju BIOS-a.
Sada su se sigurnosni istraživači bavili površinama napada na komponente analizatora slike u kontekstu prilagođenog ili zastarjelog kôda za raščlanjivanje u UEFI upravljačkom softveru. To je dovelo do otkrića da napadač može pohraniti zlonamjernu sliku ili logotip na EFI sistemsku particiju ili u nepotpisane dijelove ažuriranja upravljačkog softvera.
Ubacivanje zlonamjernog softvera na ovaj način osigurava njegovu postojanost na uređaju koja je praktično neotkrivena, kao što je opisano u MoonBounce napadu koji je iskorištavao UEFI komponente. LogoFAIL ranjivosti ne utiču na integritet izvršavanja, jer nema potrebe za modifikacijom program za podizanje sistema (eng. bootloader) ili upravljačkog softvera, što je metoda koja se vidi kod ranjivosti BlackLotus bootkit zlonamjernog softvera.
LOGOFAIL UTICAJ
Ovdje je važno naglasiti da LogoFAIL ranjivosti ne utiču na određeni čip, već na više proizvođača i čipova. To znači da je ovaj problem prisutan u proizvodima mnogih velikih proizvođača uređaja koji koriste UEFI upravljački softver u potrošačkim i poslovnim uređajima. Sigurnosni istraživači kompanije Binarly koji su otkrili ove ranjivosti su već utvrdili da hiljade uređaja proizvođača kao što su Intel, Acer, Lenovo i drugi potencijalno ranjivi, kao i tri glavna nezavisna provajdera prilagođenog UEFI kôda upravljačkog softvera: AMI, Insyde i Phoenix.
Ipak, treba napomenuti da se tačan obim uticaja ovih ranjivosti još uvijek utvrđuje. Svi tehnički detalji biće objavljeni na Black Hat Europe konferenciji 6. decembra u Londonu.