LogoFAIL 漏洞绕过硬件和软件安全措施,几乎不可能检测或删除
LogoFAIL 漏洞绕过硬件和软件安全措施,几乎不可能检测或删除
何威风 祺印说信安 2023-12-11 00:00
各个 BIOS 供应商都在争先恐后地向 OEM 和主板制造商发布 UEFI 补丁。
根据Ars Technica
的一份报告,运行 Windows 或 Linux 的计算机容易受到一种名为 LogoFAIL 的新型固件攻击。
事实证明,这种攻击极其有效,因为它重写了系统在成功 POST 后启动时通常出现的徽标(因此得名“LogoFAIL”),这一过程很早,足以绕过旨在防止
Bootkit 攻击的安全措施 。
该问题会影响使用独立 BIOS 供应商 (IBV) 提供的 UEFI 的所有主板。
AMI、Insyde 和 Phoenix 等 IBV 将需要向主板公司发布 UEFI 补丁。
由于 LogoFAIL 会覆盖 UEFI 中的启动徽标,因此该漏洞可以在任何使用 Intel、AMD 或 ARM 且运行任何 Windows 操作系统或 Linux 内核的平台上执行。
它之所以有效,是因为系统打开时执行可重写启动徽标的方式。
它会影响 DIY 和预建系统,某些功能默认保持打开状态。
攻击方式
该漏洞由 Binarly 的研究人员发现,并发表了他们的发现
。
当成功 POST 后“驱动程序执行环境”(DXE) 阶段正在进行时,就会发生攻击。
DXE 负责加载启动和运行时服务,以正确的顺序启动 CPU、芯片组和其他组件,以便启动过程继续进行。
LogoFAIL 使用漏洞替换 UEFI 启动徽标,然后在 DXE 阶段加载。
研究人员在基于英特尔第 11 代 CPU 的联想 ThinkCentre M70 上演示了其执行和利用,并启用了英特尔安全启动和 Boot Guard 以及 6 月份最新的 UEFI 更新。
Binarly 的创始人兼首席执行官 Alex Matrodov 强调,此问题利用了 UEFI 在启动过程中使用的图像解析库中新发现的漏洞。
LogoFAIL 利用该漏洞绕过 CPU、操作系统和任何第三方安全软件实现的所有安全解决方案。
由于该漏洞不存储在存储驱动器中,因此即使在操作系统重新格式化后,感染也无法消除。
这种 UEFI 级漏洞可以稍后安装 bootkit,而不会被任何安全层阻止,这使得它非常危险(也是一种非常有效的传递机制)。
Mac和一些预装PC是安全的
许多 OEM(例如Dell)
不允许在 UEFI 中更改其徽标,并且其映像文件受 Image Boot Guard 保护;
因此,这些系统不会受到这种攻击。
Mac 的硬件和软件均由 Apple 内部开发,其徽标图像硬编码到 UEFI 中,并受到类似的保护。
对于在 Intel CPU上运行的Mac(硬编码徽标图像)也是如此,因此这些 Mac 也是安全的。
如果系统集成商不允许在其 BIOS 中重写启动映像,那么您应该没问题。
但对于其他人来说,这是一个需要主板制造商和 OEM 厂商共同修复的漏洞,因为研究表明两者都容易受到攻击。
保护系统 UEFI 中图像解析的唯一方法是安装新的 UEFI 安全补丁,需要从主板制造商或 OEM(他们将从 IBV 获得)获取该补丁。
AMI
、Insyde
和Lenovo
等公司已发布公告,但没有受影响公司的完整列表 – 要查看您的系统是否容易受到攻击,您需要咨询您的 OEM/主板制造商。
>>>错与罚<<<
由上海政务系统数据泄露引发的一点点感慨
个人信息保护不当,宁夏6家物业公司被处罚
网络安全保护不是儿戏,违法违规必被查处
警方打掉通过木马控制超1400万部“老年机”自动扣费的犯罪团伙
>>>等级保护<<<
闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
>>>工控安全<<<
>>>数据安全<<<
>>>供应链安全<<<
>>>其他<<<
****网络安全十大安全漏洞