Logofail adlandırılan çoklu güvenlik açıkları, çeşitli satıcılardan UEFI kodundaki görüntü parlatma bileşenlerini etkiler. Araştırmacılar, önyükleme sürecinin yürütme akışını ele geçirmek ve bootkits sunmak için kullanılabilecekleri konusunda uyarıyorlar.
Sorunlar, satıcıların önyükleme rutini sırasında logolar göstermek için kullandıkları görüntü ayrıştırma kütüphanelerinde olduğundan, geniş bir etkiye sahipler ve X86 ve ARM mimarilerine uzanıyorlar.
Ürün yazılımı tedarik zinciri güvenlik platformu Binarly'deki araştırmacılara göre, marka gereksiz güvenlik riskleri getirerek EFI Sistem Bölümü'ne (ESP) görüntü dosyaları enjekte ederek kötü niyetli yüklerin yürütülmesini mümkün kıldı.
Araştırmacılar Rafal Wojtczuk ve Alexander Tereshkin'in bir BMP görüntü ayrıştırıcısının kötü amaçlı yazılım kalıcılığı için biyografiyi enfekte etmek için nasıl kullanılabileceğini gösterdiği 2009 yılında birleşik genişletilebilir ürün yazılımı arayüzüne (UEFI) saldırılar için görüntü parçacılarının kötüye kullanılması gösterildi.
Logofail güvenlik açıklarının keşfedilmesi, UEFI ürün yazılımında özel veya modası geçmiş ayrıştırma kodu bağlamında görüntü-parlatma bileşenlerinden saldırı yüzeylerinde küçük bir araştırma projesi olarak başladı.
Araştırmacılar, bir saldırganın EFI Sistem Bölümünde (ESP) veya bir ürün yazılımı güncellemesinin imzasız bölümlerinde kötü niyetli bir görüntü veya logo depolayabileceğini buldular.
"Bu görüntüler önyükleme sırasında ayrıştırıldığında, güvenlik açığı tetiklenebilir ve saldırgan kontrollü bir yük, yürütme akışını ele geçirmek için keyfi olarak yürütülebilir ve donanım tabanlı doğrulanmış önyükleme mekanizmaları (Intel Boot Guard, gibi güvenli önyükleme gibi güvenlik özelliklerini atlayabilir. AMD Donanım Doğrulanmış Önyükleme veya ARM TrustZone tabanlı güvenli bot) "-Binarly
Kötü amaçlı yazılımları böyle bir şekilde dikmek, enfekte UEFI bileşenlerinden yararlanan geçmiş saldırılarda gösterildiği gibi, neredeyse tespit edilmeyen sistemde kalıcılığı sağlar [1, 2].
Logofail çalışma zamanı bütünlüğünü etkilemez, çünkü boothole güvenlik açığı veya Blacklotus bootkit ile görülen bir yöntem olan önyükleyiciyi veya ürün yazılımını değiştirmeye gerek yoktur.
Binarly'nin BleepingComputer ile özel olarak paylaşılan, kavram kanıtı (POC) komut dosyasını çalıştıran ve cihazı yeniden başlatan bir videoda, sistemde keyfi bir dosya oluşturma ile sonuçlandı.
Araştırmacılar, silikona özgü logofail güvenlik açıkları olmadığından, birden fazla üreticinin satıcılarını ve çiplerini etkilemediğini vurgulamaktadır. Sorunlar, tüketici ve kurumsal sınıf cihazlarda UEFI ürün yazılımı kullanan birçok büyük cihaz üreticisinin ürünlerinde mevcuttur.
Binarly, Intel, Acer, Lenovo ve diğer satıcılardan yüzlerce cihazın potansiyel olarak savunmasız olduğunu ve özel UEFI ürün yazılımı kodunun üç büyük bağımsız sağlayıcısı olduğunu zaten belirledi: AMI, Insyde ve Phoenix.
Bununla birlikte, Logofail'in etkisinin kesin kapsamının hala belirlendiğini de belirtmek gerekir.
Araştırmacılar, “Hala Logofail'in gerçek kapsamını anlama sürecindeyken, yüzlerce tüketici ve kurumsal sınıf cihazının muhtemelen bu yeni saldırıya karşı savunmasız olduğunu bulduk” diyor.
Logofail için tüm teknik ayrıntılar 6 Aralık'ta Londra'daki Black Hat Europe Güvenlik Konferansı'nda sunulacak.
Logofail sunumunun özetine göre, araştırmacılar bulgularını birden fazla cihaz satıcısına (Intel, Acer, Lenovo) ve üç büyük UEFI sağlayıcısına açıkladılar.
Sıfır gün kullanılarak arka kapı ile enfekte 40.000'den fazla Cisco IOS XE cihazı
Bilgisayar korsanları, dünya çapında Govt Networks'teki saldırılarda Citrix Bleed Kusur kullanıyor
Son zamanlarda yamalı Citrix NetScaler Bug, Ağustos ayından bu yana sıfır gün olarak sömürüldü
Yeni kritik Citrix NetScaler Flaw, 'hassas' verileri ortaya çıkarır
Kaktüs Fidye Yazılımı İstismar Ediyor Qlik Sense Kusurları İhlal Ağları
Kaynak: Bleeping Computer