Πολλαπλές ευπάθειες ασφαλείας που ονομάζονται συλλογικά LogoFAIL επηρεάζουν τα στοιχεία ανάλυσης εικόνων στον κώδικα UEFI από διάφορους προμηθευτές. Οι ερευνητές προειδοποιούν ότι θα μπορούσαν να χρησιμοποιηθούν για να παραβιάσουν τη ροή εκτέλεσης της διαδικασίας εκκίνησης και να παραδώσουν bootkits.
Επειδή τα ζητήματα βρίσκονται στις βιβλιοθήκες ανάλυσης εικόνων, τις οποίες χρησιμοποιούν οι προμηθευτές για να εμφανίζουν λογότυπα κατά τη ρουτίνα εκκίνησης, έχουν ευρεία επίδραση και επεκτείνονται σε αρχιτεκτονικές x86 και ARM.
Σύμφωνα με ερευνητές της πλατφόρμας ασφαλείας της αλυσίδας εφοδιασμού υλικολογισμικού Binarly, η επωνυμία έχει εισαγάγει περιττούς κινδύνους ασφαλείας, καθιστώντας δυνατή την εκτέλεση κακόβουλων ωφέλιμων φορτίων με την έγχυση αρχείων εικόνας στο Διαμέρισμα συστήματος EFI (ESP).
Ανακάλυψη και αντίκτυπο LogoFAIL
Η κατάχρηση των αναλυτών εικόνων για επιθέσεις στην ενοποιημένη επεκτάσιμη διεπαφή υλικολογισμικού (UEFI) ήταν
παρουσιάστηκε το 2009
όταν οι ερευνητές Rafal Wojtczuk και Alexander Tereshkin παρουσίασαν πώς θα μπορούσε να γίνει εκμετάλλευση ενός σφάλματος ανάλυσης εικόνας BMP για να μολύνει το
BIOS
για επιμονή κακόβουλου λογισμικού.
Η ανακάλυψη των τρωτών σημείων LogoFAIL ξεκίνησε ως ένα μικρό ερευνητικό έργο σε επιφάνειες επίθεσης από στοιχεία ανάλυσης εικόνας στο πλαίσιο προσαρμοσμένου ή ξεπερασμένου κώδικα ανάλυσης στο υλικολογισμικό UEFI.
Οι ερευνητές διαπίστωσαν ότι ένας εισβολέας θα μπορούσε να αποθηκεύσει μια κακόβουλη εικόνα ή λογότυπο στο διαμέρισμα συστήματος EFI (ESP) ή σε ανυπόγραφες ενότητες μιας ενημέρωσης υλικολογισμικού.
“Όταν αυτές οι εικόνες αναλύονται κατά την εκκίνηση, μπορεί να ενεργοποιηθεί η ευπάθεια και να εκτελεστεί αυθαίρετα ένα ωφέλιμο φορτίο ελεγχόμενο από τον εισβολέα για να παραβιάσει τη ροή εκτέλεσης και να παρακάμψει λειτουργίες ασφαλείας όπως το
Secure
Boot, συμπεριλαμβανομένων μηχανισμών Verified Boot που βασίζονται σε υλικό (όπως Intel Boot Guard, AMD Hardware-Validated Boot ή ARM TrustZone-based Secure Boot)” –
Δυαδικά
Η φύτευση κακόβουλου λογισμικού με τέτοιο τρόπο διασφαλίζει την επιμονή στο σύστημα που δεν ανιχνεύεται σχεδόν, όπως φαίνεται σε προηγούμενες επιθέσεις που αξιοποιούν μολυσμένα στοιχεία UEFI [1, 2].
Το LogoFAIL δεν επηρεάζει την ακεραιότητα του χρόνου εκτέλεσης επειδή δεν υπάρχει ανάγκη τροποποίησης του προγράμματος φόρτωσης εκκίνησης ή του υλικολογισμικού, μια μέθοδος που παρατηρείται με την ευπάθεια BootHole ή το κιτ εκκίνησης BlackLotus.
Σε ένα
βίντεο
που το Binarly μοιράστηκε ιδιωτικά με το BleepingComputer, η εκτέλεση του σεναρίου proof-of-concept (PoC) και η επανεκκίνηση της συσκευής οδήγησαν στη δημιουργία ενός αυθαίρετου αρχείου στο σύστημα.
Οι ερευνητές τονίζουν ότι, επειδή δεν είναι ειδικά για το πυρίτιο, οι ευπάθειες του LogoFAIL επηρεάζουν τους προμηθευτές και τα τσιπ από πολλούς κατασκευαστές. Τα ζητήματα υπάρχουν σε προϊόντα πολλών μεγάλων κατασκευαστών συσκευών που χρησιμοποιούν υλικολογισμικό UEFI σε
συσκευές
καταναλωτικής και εταιρικής ποιότητας.
Το Binarly έχει ήδη καθορίσει ότι εκατοντάδες συσκευές από την Intel, την Acer, τη
Lenovo
και άλλους προμηθευτές είναι δυνητικά ευάλωτες, όπως και οι τρεις μεγάλοι ανεξάρτητοι πάροχοι προσαρμοσμένου κώδικα υλικολογισμικού UEFI: AMI, Insyde και Phoenix.
Ωστόσο, αξίζει επίσης να σημειωθεί ότι το ακριβές εύρος των επιπτώσεων του LogoFAIL εξακολουθεί να προσδιορίζεται.
«Ενώ είμαστε ακόμη στη διαδικασία κατανόησης της πραγματικής έκτασης του LogoFAIL, έχουμε ήδη ανακαλύψει ότι εκατοντάδες συσκευές καταναλωτικής και εταιρικής ποιότητας είναι πιθανώς ευάλωτες σε αυτή τη νέα επίθεση», λένε οι ερευνητές.
Οι πλήρεις τεχνικές λεπτομέρειες για το LogoFAIL πρόκειται να παρουσιαστούν στις 6 Δεκεμβρίου στο συνέδριο ασφαλείας Black Hat Europe στο Λονδίνο.
Σύμφωνα με την
περίληψη της παρουσίασης LogoFAIL
οι ερευνητές αποκάλυψαν τα ευρήματά τους σε πολλούς προμηθευτές συσκευών (Intel, Acer, Lenovo) και στους τρεις μεγάλους παρόχους UEFI.
VIA:
bleepingcomputer.com