来自不同供应商(包括英特尔、宏碁和联想)的数百种消费级和企业级 x86 和 ARM 型号可能容易受到 Bootkit 和接管的影响。
研究人员发现了“LogoFAIL”,这是PC统一可扩展固件接口 (UEFI) 生态系统中存在的一组关键漏洞。
利用这些漏洞会使基本的端点安全措施失效,并使攻击者能够对受影响的系统进行深度控制。
根据将于下周在伦敦举办的 Black Hat Europe 上正式发布的 Binarly Research 报告,这些缺陷源自启动过程中的图像解析库,影响了 x86 和基于 ARM 设备的所有主要设备制造商。
研究人员警告说,LogoFAIL 的广泛影响加剧了其严重性,并指出它影响整个生态系统,而不仅仅是个别供应商。这些发现是通过 CERT/CC VINCE 系统报告的,预计供应商补丁计划于 12 月 6 日发布,与题为“ LogoFAIL:系统期间图像解析的安全影响”的黑帽演讲同时进行。
使用LogoFAIL劫持启动过程
Binarly 研究人员发现,通过在 EFI 系统分区 (ESP) 或未签名的固件更新部分嵌入受损映像,威胁参与者可以在启动期间执行恶意代码,从而劫持启动过程。
这种利用绕过了安全启动和英特尔启动防护等关键安全措施,有助于插入在操作系统级别下运行的持久固件启动套件。
Binarly 首席执行官兼创始人 Alex Matrosov 解释道:“由于攻击者正在将特权代码执行权写入固件,因此它在设计上绕过了安全边界,就像安全启动一样。” “英特尔 Boot Guard 和其他可信启动技术不会在运行时扩展,并且在验证固件后,它只是在系统启动流程中进一步启动。”
他说,Binarly 研究团队最初是在实验室的一台联想设备上尝试修改徽标。
“有一天,它在显示启动徽标后突然开始重新启动,”他说。“我们意识到问题的根本原因是原始标志的改变,这导致了更深入的调查。”
他补充道,“在这种情况下,我们正在处理修改后的启动徽标图像的持续利用,在运行时触发有效负载交付,其中所有完整性和安全性测量都在加载固件组件之前进行。”
这并不是第一次发现安全启动绕过;2022 年 11 月,五款 Acer 笔记本电脑型号中发现固件缺陷,可用于禁用安全启动并允许恶意攻击者加载恶意软件;BlackLotus或BootHole威胁之前已经为引导进程劫持打开了大门。然而,Matrosov 表示,LogoFAIL 与之前的威胁不同,因为它不会通过修改引导加载程序或固件组件来破坏运行时完整性。
事实上,他说 LogoFAIL 是一种纯数据攻击,当恶意输入来自固件映像或在系统启动过程中从 ESP 分区读取徽标时就会发生-因此很难检测到。
“这种使用 ESP 攻击向量的方法在固件本身内部留下了零证据,因为该徽标来自外部来源,”他解释道。
大多数 PC 生态系统都很脆弱
配备来自三个主要独立 BIOS 供应商 (IBV) Insyde、AMI 和 Phoenix 的固件的设备很容易受到影响,这表明不同硬件类型和架构之间存在潜在影响。Matrosov 表示,这三者合计覆盖了 BIOS 生态系统的 95%。
事实上,Matrosov 表示,LogoFAIL 影响“全球大多数设备”,包括来自不同供应商的消费级和企业级 PC,包括宏碁、技嘉、惠普、英特尔、联想、微星、三星、超微、富士通和“许多其他供应商”。
“受影响设备的确切列表仍在确定中,但值得注意的是,所有三个主要 IBV(AMI、Insyde 和 Phoenix)都受到与图像解析器相关的多个安全问题的影响,这些安全问题是作为固件的一部分提供的”,Binarly 报告警告说。“我们估计 LogoFAIL 会以某种方式影响这些供应商提供的几乎所有设备。”
Phoenix Technologies 本周发布了一份早期安全通知(现已删除,但可作为缓存使用,直到 12 月 6 日恢复),详细说明该错误 (CVE-2023-5058) 存在于低于 1.0 的所有版本中.5 的 Phoenix SecureCore Technology 4,这是一种 BIOS 固件,可为各种设备提供高级安全功能。
通知称,“该缺陷存在于系统启动期间处理用户提供的启动屏幕中,可以被对设备进行物理访问的攻击者利用”,并指出有更新版本可用。“通过提供恶意启动屏幕,攻击者可以引发拒绝服务攻击或在 UEFI DXE 阶段执行任意代码,绕过安全启动机制并损害系统完整性。”
LogoFAIL 还被 Insyde 跟踪为 CVE-2023-40238,并被 AMI 跟踪为 CVE-2023-39539 和 CVE-2023-39538。
Matrosov 表示,该公司正在与多家设备供应商积极合作,协调整个领域的披露和缓解工作。
固件更新是最大限度降低风险的关键
为了最大限度地降低固件风险,用户应及时了解制造商的建议并及时应用固件更新,因为它们通常可以解决关键的安全缺陷。
此外,审查供应商也是必须的。Matrosov 补充道:“对您每天依赖的个人设备或跨企业基础设施的设备供应商要挑剔。” “不要盲目信任供应商,而是验证供应商的安全承诺,并找出设备库存及其他方面的差距。”
发表评论
您还未登录,请先登录。
登录