根据Ars Technica的一份报告,运行 Windows 或 Linux 的计算机容易受到一种名为 LogoFAIL 的新型固件攻击。事实证明,这种攻击极其有效,因为它重写了系统在成功 POST 后启动时通常出现的徽标(因此得名“LogoFAIL”),这一过程很早,足以绕过旨在防止Bootkit 攻击的安全措施 。
该问题会影响使用独立 BIOS 供应商 (IBV) 提供的 UEFI 的所有主板。AMI、Insyde 和 Phoenix 等 IBV 将需要向主板公司发布 UEFI 补丁。由于 LogoFAIL 会覆盖 UEFI 中的启动徽标,因此该漏洞可以在任何使用 Intel、AMD 或 ARM 且运行任何 Windows 操作系统或 Linux 内核的平台上执行。它之所以有效,是因为系统打开时执行可重写启动徽标的方式。它会影响 DIY 和预建系统,某些功能默认保持打开状态。
攻击方式
该漏洞由 Binarly 的研究人员发现,并发表了他们的发现。当成功 POST 后“驱动程序执行环境”(DXE) 阶段正在进行时,就会发生攻击。DXE 负责加载启动和运行时服务,以正确的顺序启动 CPU、芯片组和其他组件,以便启动过程继续进行。LogoFAIL 使用漏洞替换 UEFI 启动徽标,然后在 DXE 阶段加载。
研究人员在基于英特尔第 11 代 CPU 的联想 ThinkCentre M70 上演示了其执行和利用,并启用了英特尔安全启动和 Boot Guard 以及 6 月份最新的 UEFI 更新。
Binarly 的创始人兼首席执行官 Alex Matrodov 强调,此问题利用了 UEFI 在启动过程中使用的图像解析库中新发现的漏洞。LogoFAIL 利用该漏洞绕过 CPU、操作系统和任何第三方安全软件实现的所有安全解决方案。由于该漏洞不存储在存储驱动器中,因此即使在操作系统重新格式化后,感染也无法消除。这种 UEFI 级漏洞可以稍后安装 bootkit,而不会被任何安全层阻止,这使得它非常危险(也是一种非常有效的传递机制)。
Mac和一些预装PC是安全的
许多 OEM(例如Dell)不允许在 UEFI 中更改其徽标,并且其映像文件受 Image Boot Guard 保护;因此,这些系统不会受到这种攻击。Mac 的硬件和软件均由 Apple 内部开发,其徽标图像硬编码到 UEFI 中,并受到类似的保护。对于在 Intel CPU上运行的Mac(硬编码徽标图像)也是如此,因此这些 Mac 也是安全的。
如果系统集成商不允许在其 BIOS 中重写启动映像,那么您应该没问题。但对于其他人来说,这是一个需要主板制造商和 OEM 厂商共同修复的漏洞,因为研究表明两者都容易受到攻击。保护系统 UEFI 中图像解析的唯一方法是安装新的 UEFI 安全补丁,需要从主板制造商或 OEM(他们将从 IBV 获得)获取该补丁。
AMI、Insyde和Lenovo等公司已发布公告,但没有受影响公司的完整列表 - 要查看您的系统是否容易受到攻击,您需要咨询您的 OEM/主板制造商。
原文始发于微信公众号(祺印说信安):LogoFAIL 漏洞绕过硬件和软件安全措施,几乎不可能检测或删除
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论