Многие коммерческие компьютеры оказались подвержены ряду уязвимостей, связанных с ошибками обработки логотипов запуска во время загрузки ОС.
Исследователи безопасности из компании Binarly раскрыли уязвимость в системной прошивке, используемой производителями ПК в процессе загрузки. Уязвимость затрагивает устройства на базе архитектуры x86 и ARM.
Уязвимости обнаружены в BIOS от трех крупнейших производителей: AMI, Insyde и Phoenix. Эти прошивки широко используется в устройствах Intel, Acer и Lenovo. Генеральный директор Binarly заявляет, что около 95% всех компьютеров используют прошивку от трех производителей BIOS.
По оценкам Binarly, практически любое устройство, произведенное этими производителями, «в какой-то степени» является уязвимым.
Атака LogoFail использует уязвимости в парсерах изображений, которые затронутые устройства используют для отображения логотипов производителей во время загрузки. Различные парсеры изображений используются для отображения разных типов изображений, и «они изобилуют уязвимостями», по словам Матросова.
Злоумышленнику необходимо заменить изображение производителя на специально подготовленный файл, чтобы воспользоваться уязвимостью и выполнить произвольный код на компьютере. Хакеры могут хранить вредоносные образы логотипов в системном разделе EFI или в неподписанных разделах обновлений прошивки. Затем во время загрузки выполняется парсинг этих образов, что инициирует атаку на устройство.
Атака позволяет обойти такие функции безопасности, как Secure Boot. Binarly отмечает, что это также влияет на аппаратные системы Verified Boot, включая Intel Boot Guard, AMD Hardware-Validated Boot и ARM TrustZone-based Secure Boot.
Исследователи полагают, что злоумышленник может обойти «большинство решений по защите конечных точек» и интегрировать в систему постоянный буткит для стелс-прошивки. Другими словами, злоумышленники могут использовать LogoFail, чтобы подорвать безопасность многих компьютерных систем.
Как защититься от атак
Для эксплуатации уязвимости злоумышленникам необходимо получить доступ уровня администратора устройства. Этого можно добиться с помощью вредоносной полезной нагрузки, загружаемой в систему, например, путем принуждения пользователя к запуску вредоносного ПО, или с помощью эксплойтов.
Получив доступ, злоумышленнику достаточно заменить загрузочный логотип производителя на вредоносный, который затем будет загружен на устройство во время запуска системы.
Киберпреступник сможет отключить функции безопасности UEFI, такие как SecureBoot, изменить порядок загрузки и запустить вредоносное ПО для заражения ОС.
Для некоторых из подверженных уязвимости устройств уже доступны защитные патчи. Администраторам устройств рекомендуется проверить доступность обновлений прошивки. Однако, не все затронутые устройства получат обновления. Особенно это касается устройств, поддержка которых уже прекращена.
Найти актуальные обновления прошивки можно на официальном сайте производителя устройства.
Пользователям устройств без обновлений прошивки следует быть особенно осторожными и использовать защитные решения, чтобы избежать первоначальной атаки на устройство (для которой необходим административный доступ).
Дополнительную информацию об уязвимости можно найти на сайте Binarly и в базе данных CERT.
Угрозы безопасности
• Apple добавила предупреждение в Терминале macOS для защиты от атак ClickFix
• iPhone под угрозой – обновлённый эксплойт-фреймворк Coruna связан с Operation Triangulation
• TP-Link закрыла критическую уязвимость в Archer NX – срочно обновите прошивку
• Популярный пакет LiteLLM в PyPI был скомпрометирован с целью кражи учетных данных и токенов аутентификации
• Void Stealer обходит защиту Chrome и крадет мастер-ключ через отладчик
• Apple рекомендовала обновить старые iPhone из-за активных веб-атак