导 读
固件安全公司 Binarly 周三披露了一种攻击方法的细节,该方法可通过利用恶意 UEFI logo images来危害许多消费者和企业设备。
这种被称为LogoFAIL的攻击方法利用 UEFI 固件使用的图像解析器中的漏洞在启动过程或 BIOS 设置中显示徽标。让受影响的解析器处理特制的图像可以使攻击者劫持执行流并运行任意代码。
黑客可以使用 LogoFAIL 攻击来危害整个系统并绕过安全启动等安全措施。
“这些漏洞可能会危及整个系统的安全性,导致‘操作系统下方’的安全措施(例如任何安全启动方式)失效,包括英特尔 Boot Guard。这种程度的攻击意味着攻击者可以获得对受影响系统的深度控制。”Binarly 解释道。
Binarly 的分析表明,UEFI 供应商对 BMP、PNG、JPEG、GIF 和其他类型的图像使用各种类型的解析器。该安全公司的研究针对的是 Insyde、AMI 和 Phoenix 的固件,并发现了24个漏洞,其中一半以上已被授予“高严重性”评级。
受影响的固件影响全球主流计算机型号,包括宏碁、戴尔、Framework、富士通、技嘉、惠普、英特尔、联想、MSI、三星和 Supermicro 等公司制造的数百种消费者和企业计算机型号(包括基于 x86 和 ARM 的设备)。这意味着全球数百万台设备可能会受到攻击。
通过滥用固件更新程序,用恶意版本替换合法徽标,可以发起 LogoFAIL 攻击。假设徽标不受硬件验证启动技术的保护,则使用 SPI 闪存编程器也可能通过物理访问进行攻击。
一些供应商(包括英特尔、宏碁和联想)提供的功能使用户能够自定义启动过程中显示的徽标,从而可以从操作系统发起 LogoFAIL 攻击,而无需物理访问设备。
值得注意的是,虽然在上述所有供应商的设备中都发现了图像解析器漏洞,但它们并不总是会被利用。例如,在戴尔的案例中,该徽标受到英特尔 Boot Guard 的保护,即使攻击者可以物理访问目标系统,也可以防止其被替换。此外,戴尔不提供任何徽标定制功能。
Binarly 在周三的黑帽欧洲会议上介绍了此次攻击的详细信息,该公司还发布了一篇技术博客文章(https://binarly.io/posts/finding_logofail_the_dangers_of_image_parsing_during_system_boot/index.html)描述其发现。
该安全公司发布了一段视频,展示了概念验证 (PoC) LogoFAIL 漏洞利用的实际情况,演示了拥有操作系统管理员权限的攻击者如何将权限升级到固件级别。
几个月前,这些漏洞已通过 CERT/CC 报告给受影响的供应商,但即使供应商创建了修复程序,这些类型的安全漏洞的补丁也可能需要很长时间才能到达终端设备。
参考链接:https://www.securityweek.com/many-consumer-enterprise-devices-exposed-to-attacks-via-malicious-uefi-logo-images/
今日安全资讯速递
APT事件
Advanced Persistent Threat
Adobe ColdFusion 漏洞被利用来攻击美国政府机构
https://www.securityweek.com/adobe-coldfusion-vulnerability-exploited-in-attacks-on-us-government-agency/
“AeroBlade”APT组织以美国航空航天公司为目标进行间谍活动
https://www.securityweek.com/new-threat-actor-aeroblade-targeted-us-aerospace-firm-in-espionage-campaign/
朝鲜黑客从韩国公司窃取了防空系统数据
https://therecord.media/north-korea-hackers-stole-anti-aircraft-system-data
一般威胁事件
General Threat Incidents
最近 Cisco IOS XE 漏洞CVE-2023-20198和 CVE-2023-20273的利用激增
https://www.securityweek.com/exploitation-of-recent-cisco-ios-xe-vulnerabilities-spikes/
APLHV/BlackCat 勒索团伙表示将第三次对 Henry Schein 的网络系统进行加密
https://cybernews.com/news/alphv-blackcat-re-encrypt-henry-schein-ransom-negotiations-third-time-/
日产汽车调查大洋洲公司破坏性网络攻击事件
https://cybernews.com/news/nissan-investigating-cyberattack/
LockBit 已将加拿大跨国公司零售商 ALDO Shoes 添加到其受害者名单中
https://cybernews.com/news/lockbit-aldo-shoes-ransomware/
IT 服务和商业咨询公司 HTC Global Services 证实,他们遭受 ALPHV 勒索软件攻击
https://www.bleepingcomputer.com/news/security/htc-global-services-confirms-cyberattack-after-data-leaked-online/
美国海军承包商 Austal 证实遭受了网络攻击
https://www.bleepingcomputer.com/news/security/navy-contractor-austal-usa-confirms-cyberattack-after-data-leak/
缅因州、印第安纳州和佐治亚州的学校面临勒索软件攻击
https://therecord.media/schools-maine-indiana-georgia-ransomware
漏洞事件
Vulnerability Incidents
全球数百万台企业级、消费级计算机面临恶意 UEFI logo images攻击
https://www.securityweek.com/many-consumer-enterprise-devices-exposed-to-attacks-via-malicious-uefi-logo-images/
Atlassian 发布关键软件修复程序以防止远程代码执行
https://thehackernews.com/2023/12/atlassian-releases-critical-software.html
“Sierra:21”漏洞影响关键基础设施路由器
https://www.bleepingcomputer.com/news/security/sierra-21-vulnerabilities-impact-critical-infrastructure-routers/
Adobe 的 InDesign 遭到新一波网络钓鱼攻击的利用
https://cybernews.com/security/adobes-indesign-phishing-attacks-barracuda-research/
Chrome 120 修补了 10 个漏洞
https://www.securityweek.com/chrome-120-patches-10-vulnerabilities/
CISA 敦促联邦机构修补被利用的高通漏洞
https://www.securityweek.com/cisa-urges-federal-agencies-to-patch-exploited-qualcomm-vulnerabilities/
高通发布了针对性攻击中利用的芯片漏洞的详细信息
https://thehackernews.com/2023/12/qualcomm-releases-details-on-chip.html
2023 年 12 月安全更新修复了 Android 中的 94 个漏洞
https://www.securityweek.com/94-vulnerabilities-patched-in-android-with-december-2023-security-updates/
未修补的 Loytec 楼宇自动化缺陷在发现两年后被披露
https://www.securityweek.com/unpatched-loytec-building-automation-flaws-disclosed-2-years-after-discovery/
Apple 和一些 Linux 发行版容易受到蓝牙攻击
https://www.theregister.com/2023/12/06/bluetooth_bug_apple_linux/
扫码关注
会杀毒的单反狗
讲述普通人能听懂的安全故事
原文始发于微信公众号(会杀毒的单反狗):全球数百万台企业级、消费级计算机面临恶意 UEFI logo images攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论