黑客可利用LogoFAIL 漏洞对受影响的系统进行深度控制

数百种来自不同供应商（包括英特尔、宏碁和联想）的 x86 和 ARM 设备可能面临 Bootkit 和接管的风险，研究人员发现了存在于PC统一可扩展固件接口（UEFI）生态系统中的一组关键漏洞，被称为“LogoFAIL”。

这些漏洞影响了启动过程中的图像解析库，涉及了 x86 和基于 ARM 设备的主要制造商。LogoFAIL的利用可能使基本的端点安全措施失效，为攻击者提供了对受影响系统的深度控制。

研究人员警告，LogoFAIL的广泛影响加剧了其危害，它不仅仅影响个别供应商，而是整个生态系统。漏洞报告由CERT/CC VINCE系统发布，相关供应商计划于12月6日发布补丁，与Binarly Research报告同时进行，该报告将于Black Hat Europe上发布。

Binarly的研究人员发现，通过在EFI系统分区（ESP）或未签名的固件更新部分嵌入受损图像，威胁参与者可以在启动期间执行恶意代码，从而劫持启动过程。这种利用绕过了安全启动和英特尔启动防护等关键安全措施，为插入在操作系统级别下运行的持久固件启动套件提供了帮助。

与之前的启动绕过不同，LogoFAIL不通过修改引导加载程序或固件组件来破坏运行时完整性。相反，它是一种纯数据攻击，难以检测，因为攻击发生在恶意输入来自固件映像或ESP分区读取徽标的情况下。

研究人员估计，LogoFAIL影响了95%的BIOS生态系统，包括来自不同供应商的消费级和企业级PC，如宏碁、技嘉、惠普、英特尔、联想、微星、三星、超微、富士通等。因此，及时更新固件成为减轻风险的关键步骤。