来自不同厂商(包括英特尔、宏碁和联想)的数百种消费者级和企业级x86和ARM型号都可能容易受到引导套件和接管的影响。
研究人员发现了LogoFAIL,这是PC端统一可扩展固件接口(UEFI)生态系统中存在的一系列关键漏洞。
利用这些漏洞会使基本的端点安全措施失效,并为攻击者提供对受影响系统的深度控制。
Binarly Research的一份报告称,这些漏洞源自启动过程中的图像解析库,影响到x86和ARM设备上的所有主要设备制造商。该报告将于本周在伦敦举行的黑帽欧洲会议上正式发布。
研究人员警告说,LogoFAIL的严重程度因其广泛的影响而加剧,并指出它影响了整个生态系统,而不仅仅是这里或那里的个别供应商。这些发现是通过CERT/CC VINCE系统报告的,预计供应商将在12月6日发布补丁,同时进行题为LogoFAIL:系统期间图像分析的安全影响的黑帽演讲。
早期研究人员发现,通过在EFI系统分区(ESP)或未签名固件更新部分中嵌入受感染的图像,攻击者可以在启动过程中执行恶意代码,从而劫持启动过程。
这种利用绕过了关键的安全措施,如安全引导和英特尔引导保护,促进了在操作系统级别下操作的持久固件引导工具包的插入。
Binarly的首席执行官兼创始人Alex Matrosov解释说:“因为攻击者正在将特权代码执行到固件中,所以它绕过了安全边界,就像安全启动一样。英特尔Boot Guard和其他可信任的引导技术在运行时不会扩展,在固件经过验证后,它只会在系统引导流程中进一步引导。”
他说:“Binarly研究团队最初是在实验室里的一台联想设备上试验修改徽标。有一天,在显示启动标志后,它突然开始重新启动。”
他说:“我们意识到问题的根本原因是原标志的改变,这导致了更深入的调查。在这种情况下,我们正在处理使用修改的引导徽标映像的持续利用,在运行时触发有效负载交付,在加载固件组件之前进行所有完整性和安全性测量。”
这并不是有史以来发现的第一个安全引导绕过。2022年11月,在五款宏碁笔记本电脑中发现了一个固件漏洞,可以用来禁用安全启动,并允许恶意行为者加载恶意软件,以及BlackLotus或BootHole威胁已经为引导进程劫持打开了大门。然而,Matrosov表示,LogoFAIL与之前的威胁不同,因为它不会通过修改引导加载程序或固件组件来破坏运行时完整性。
事实上,他说LogoFAIL是一种仅针对数据的攻击,当恶意输入来自固件映像或在系统启动过程中从ESP分区读取徽标时,就会发生这种攻击,因此很难检测到。ESP攻击向量的这种方法在固件本身内部没有留下固件攻击的证据,因为徽标来自外部来源。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
