- 13,853
- 20
- 8 Ноя 2022
Глобальная угроза: в опасности сотни моделей компьютеров и ноутбуков.
Многочисленные уязвимости безопасности с общим названием LogoFAIL позволяют злоумышленникам вмешиваться в процесс загрузки компьютерных устройств и внедрять буткиты, благодаря проблемам, связанным с компонентами анализа изображений, которые производители материнских плат используют для отображения фирменных логотипов при старте компьютера. Под угрозой как устройства с архитектурой x86 , так и ARM .
Исследователи из компании Binarly , специализирующейся на безопасности цепочек поставок прошивок для материнских плат, отметили в Для просмотра ссылки Войдиили Зарегистрируйся , что брендирование вносит ненужные риски безопасности, позволяя хакерам выполнять вредоносные действия путём внедрения зловредных изображений в раздел EFI System Partition ( ESP ).
Возможность производить атаки на встроенный загрузочный интерфейс компьютера подобным способом была продемонстрировано ещё в далёком 2009 году, когда исследователи Рафал Войтчук и Александр Терешкин показали, как можно использовать баг анализатора BMP-изображений для заражения BIOS вредоносным ПО.
Обнаружение уязвимостей LogoFAIL началось как небольшой исследовательский проект по изучению поверхностей атаки с помощью компонентов для анализа изображений в контексте пользовательского или устаревшего кода для анализа во встроенном ПО UEFI .
Исследователи обнаружили, что злоумышленник может хранить вредоносное изображение или логотип в системном разделе EFI или в неподписанных разделах обновления встроенного программного обеспечения.
«Когда эти образы анализируются во время загрузки, может сработать уязвимость , и контролируемая злоумышленником полезная нагрузка может быть произвольно запущена, чтобы перехватить поток выполнения и обойти функции безопасности, такие как Secure Boot, Intеl Boot Guard, AMD Hardware-Validated Boot или ARM TrustZone», — Для просмотра ссылки Войдиили Зарегистрируйся эксперты Binarly.
Заражение вредоносным ПО таким образом обеспечивает стойкость в системе, которая практически не обнаруживается, как это было, например, с вредоносом CosmicStrand, о котором Для просмотра ссылки Войдиили Зарегистрируйся в прошлом году. LogoFAIL абсолютно не влияет на целостность системы в режиме выполнения, поскольку нет необходимости изменять загрузчик или прошивку.
Исследователи подчёркивают, что уязвимости LogoFAIL не зависят от конкретного вендора железа и влияют на устройства и чипы от самых разных производителей, затрагивая UEFI-прошивки как потребительских, так и корпоративных устройств.
Binarly уже определила, что сотни устройств от Intel , Acer , Lenovo и других производителей потенциально уязвимы, как и три основных независимых поставщика пользовательского кода прошивки UEFI: AMI , Insyde и Phoenix .
Однако также стоит отметить, что точный масштаб воздействия LogoFAIL ещё предстоит определить.
«Хотя мы все ещё находимся в процессе понимания реальных масштабов LogoFAIL, мы уже обнаружили, что сотни устройств потребительского и корпоративного уровня, потенциально уязвимы для этой новой атаки», — сообщили исследователи.
Полная техническая информация о LogoFAIL будет представлена 6 декабря на конференции по безопасности Black Hat Europe в Лондоне. Исследователи уже раскрыли выявленные результаты нескольким поставщикам устройств, а также основным поставщикам UEFI.
Многочисленные уязвимости безопасности с общим названием LogoFAIL позволяют злоумышленникам вмешиваться в процесс загрузки компьютерных устройств и внедрять буткиты, благодаря проблемам, связанным с компонентами анализа изображений, которые производители материнских плат используют для отображения фирменных логотипов при старте компьютера. Под угрозой как устройства с архитектурой x86 , так и ARM .
Исследователи из компании Binarly , специализирующейся на безопасности цепочек поставок прошивок для материнских плат, отметили в Для просмотра ссылки Войди
Возможность производить атаки на встроенный загрузочный интерфейс компьютера подобным способом была продемонстрировано ещё в далёком 2009 году, когда исследователи Рафал Войтчук и Александр Терешкин показали, как можно использовать баг анализатора BMP-изображений для заражения BIOS вредоносным ПО.
Обнаружение уязвимостей LogoFAIL началось как небольшой исследовательский проект по изучению поверхностей атаки с помощью компонентов для анализа изображений в контексте пользовательского или устаревшего кода для анализа во встроенном ПО UEFI .
Исследователи обнаружили, что злоумышленник может хранить вредоносное изображение или логотип в системном разделе EFI или в неподписанных разделах обновления встроенного программного обеспечения.
«Когда эти образы анализируются во время загрузки, может сработать уязвимость , и контролируемая злоумышленником полезная нагрузка может быть произвольно запущена, чтобы перехватить поток выполнения и обойти функции безопасности, такие как Secure Boot, Intеl Boot Guard, AMD Hardware-Validated Boot или ARM TrustZone», — Для просмотра ссылки Войди
Заражение вредоносным ПО таким образом обеспечивает стойкость в системе, которая практически не обнаруживается, как это было, например, с вредоносом CosmicStrand, о котором Для просмотра ссылки Войди
Исследователи подчёркивают, что уязвимости LogoFAIL не зависят от конкретного вендора железа и влияют на устройства и чипы от самых разных производителей, затрагивая UEFI-прошивки как потребительских, так и корпоративных устройств.
Binarly уже определила, что сотни устройств от Intel , Acer , Lenovo и других производителей потенциально уязвимы, как и три основных независимых поставщика пользовательского кода прошивки UEFI: AMI , Insyde и Phoenix .
Однако также стоит отметить, что точный масштаб воздействия LogoFAIL ещё предстоит определить.
«Хотя мы все ещё находимся в процессе понимания реальных масштабов LogoFAIL, мы уже обнаружили, что сотни устройств потребительского и корпоративного уровня, потенциально уязвимы для этой новой атаки», — сообщили исследователи.
Полная техническая информация о LogoFAIL будет представлена 6 декабря на конференции по безопасности Black Hat Europe в Лондоне. Исследователи уже раскрыли выявленные результаты нескольким поставщикам устройств, а также основным поставщикам UEFI.
- Источник новости
- www.securitylab.ru
