Корнем зла являются компоненты UEFI, отвечающие за парсинг изображений, — библиотеки, которые вендоры используют для показа логотипов при загрузке системы. Угроза с условным названием LogoFAIL актуальна для устройств с архитектурой x86 и ARM.
По мнению исследователей Binarly, такой брендинг создал риски безопасности, позволяя выполнять вредоносные полезные нагрузки путем внедрения файлов изображений в системный раздел EFI (ESP).
Использование парсеров изображений для атак на UEFI демонстрировалось еще в 2009 году, когда исследователи Рафал Войчук и Александр Терешкин проэксрлуатировали ошибку парсера изображений BMP для заражения BIOS и обеспечения устойчивости вредоносного ПО.
Обнаружение же уязвимостей LogoFAIL началось с небольшого исследовательского проекта по направлениям атак со стороны компонентов анализа изображений в прошивке UEFI. Исследователи выяснили, что злоумышленник может сохранить вредоносное изображение или логотип в системном разделе EFI (ESP), а также в неподписанных разделах обновления прошивки.
Как показывает практика, вредоносное ПО, внедряемое подобным образом, обеспечивает злоумышленникам постоянное и незаметное присутствие в системе. Атака LogoFAIL еще более скрытна: она не нарушает целостность среды исполнения, так как не требует модификации прошивки либо загрузчика ОС — как в случае с BlackLotus или BootHole.
Binarly также успешно разработали и продемонстрировали в частном порядке PoC, который после перегрузки устройства привел к созданию произвольного файла в системе.
Поскольку LogoFAIL не связаны с конкретными микроархитектурами, уязвимости затрагивают чипы различных производителей, которые используют прошивку UEFI в устройствах потребительского и корпоративного уровня.
Binarly полагает, что потенциально уязвимы сотни устройств Intel, Acer, Lenovo и других поставщиков, а также три основных независимых поставщика спецкода прошивки UEFI: AMI, Insyde и Phoenix. Однако точные масштабы влияния LogoFAIL еще не определены.
Полные технические подробности LogoFAIL будут представлены 6 декабря на конференции по безопасности Black Hat Europe в Лондоне.
С заботой о вашей безопасности, команда Origin Security
