LogoFAIL 漏洞绕过硬件和软件安全措施,几乎不可能检测或删除

admin 2023年12月11日08:19:25评论68 views字数 1274阅读4分14秒阅读模式
各个 BIOS 供应商都在争先恐后地向 OEM 和主板制造商发布 UEFI 补丁。

LogoFAIL 漏洞绕过硬件和软件安全措施,几乎不可能检测或删除

根据Ars Technica的一份报告,运行 Windows 或 Linux 的计算机容易受到一种名为 LogoFAIL 的新型固件攻击。事实证明,这种攻击极其有效,因为它重写了系统在成功 POST 后启动时通常出现的徽标(因此得名“LogoFAIL”),这一过程很早,足以绕过旨在防止Bootkit 攻击的安全措施

该问题会影响使用独立 BIOS 供应商 (IBV) 提供的 UEFI 的所有主板。AMI、Insyde 和 Phoenix 等 IBV 将需要向主板公司发布 UEFI 补丁。由于 LogoFAIL 会覆盖 UEFI 中的启动徽标,因此该漏洞可以在任何使用 Intel、AMD 或 ARM 且运行任何 Windows 操作系统或 Linux 内核的平台上执行。它之所以有效,是因为系统打开时执行可重写启动徽标的方式。它会影响 DIY 和预建系统,某些功能默认保持打开状态。

攻击方式

该漏洞由 Binarly 的研究人员发现,并发表了他们的发现当成功 POST 后“驱动程序执行环境”(DXE) 阶段正在进行时,就会发生攻击。DXE 负责加载启动和运行时服务,以正确的顺序启动 CPU、芯片组和其他组件,以便启动过程继续进行。LogoFAIL 使用漏洞替换 UEFI 启动徽标,然后在 DXE 阶段加载。

研究人员在基于英特尔第 11 代 CPU 的联想 ThinkCentre M70 上演示了其执行和利用,并启用了英特尔安全启动和 Boot Guard 以及 6 月份最新的 UEFI 更新。

LogoFAIL 漏洞绕过硬件和软件安全措施,几乎不可能检测或删除Binarly 的创始人兼首席执行官 Alex Matrodov 强调,此问题利用了 UEFI 在启动过程中使用的图像解析库中新发现的漏洞。LogoFAIL 利用该漏洞绕过 CPU、操作系统和任何第三方安全软件实现的所有安全解决方案。由于该漏洞不存储在存储驱动器中,因此即使在操作系统重新格式化后,感染也无法消除。这种 UEFI 级漏洞可以稍后安装 bootkit,而不会被任何安全层阻止,这使得它非常危险(也是一种非常有效的传递机制)。

Mac和一些预装PC是安全的

许多 OEM(例如Dell)不允许在 UEFI 中更改其徽标,并且其映像文件受 Image Boot Guard 保护;因此,这些系统不会受到这种攻击。Mac 的硬件和软件均由 Apple 内部开发,其徽标图像硬编码到 UEFI 中,并受到类似的保护。对于在 Intel CPU上运行的Mac(硬编码徽标图像)也是如此,因此这些 Mac 也是安全的。

如果系统集成商不允许在其 BIOS 中重写启动映像,那么您应该没问题。但对于其他人来说,这是一个需要主板制造商和 OEM 厂商共同修复的漏洞,因为研究表明两者都容易受到攻击。保护系统 UEFI 中图像解析的唯一方法是安装新的 UEFI 安全补丁,需要从主板制造商或 OEM(他们将从 IBV 获得)获取该补丁。

AMIInsydeLenovo等公司已发布公告,但没有受影响公司的完整列表 - 要查看您的系统是否容易受到攻击,您需要咨询您的 OEM/主板制造商。

原文始发于微信公众号(祺印说信安):LogoFAIL 漏洞绕过硬件和软件安全措施,几乎不可能检测或删除

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月11日08:19:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   LogoFAIL 漏洞绕过硬件和软件安全措施,几乎不可能检测或删除http://cn-sec.com/archives/2285826.html

发表评论

匿名网友 填写信息