Уязвимости UEFI делают устройства уязвимыми для скрытых атак вредоносных программ

04 декабря 2023 г.Отдел новостейТехнологии/Безопасность прошивки

Единый расширяемый интерфейс прошивки (УЕФИ) код различных независимых поставщиков встроенного ПО/BIOS (IBV) оказался уязвимым для потенциальных атак из-за серьезных недостатков в библиотеках анализа изображений, встроенных в встроенное ПО.

Недостатки, совокупно обозначенные ЛоготипFAIL от Binarly «может использоваться злоумышленниками для доставки вредоносной полезной нагрузки и обхода Secure Boot, Intel Boot Guard и других технологий безопасности».

Кроме того, их можно использовать в качестве оружия для обхода решений безопасности и доставки постоянного вредоносного ПО в скомпрометированные системы на этапе загрузки путем внедрения вредоносного файла изображения логотипа в систему. Системный раздел EFI.

Хотя проблемы не относятся к конкретному кремнию, то есть они затрагивают как устройства на базе x86, так и ARM, они также специфичны для UEFI и IBV. Уязвимости включают в себя переполнение буфера в куче и чтение за пределами допустимого диапазона, подробности которого, как ожидается, будут обнародованы позднее на этой неделе на Европейская конференция Black Hat.

В частности, эти уязвимости срабатывают при анализе внедренных изображений, что приводит к выполнению полезных данных, которые могут перехватить поток и обойти механизмы безопасности.

«Этот вектор атаки может дать злоумышленнику преимущество в обходе большинства решений по обеспечению безопасности конечных точек и предоставлении скрытого буткита прошивки, который будет сохраняться в разделе ESP или капсуле прошивки с измененным изображением логотипа», — заявила компания по обеспечению безопасности встроенного программного обеспечения. сказал.

При этом злоумышленники могут получить прочный контроль над затронутыми хостами, что приведет к развертыванию устойчивых вредоносных программ, которые могут оставаться незамеченными.

В отличие от Черный лотос или BootHoleстоит отметить, что LogoFAIL не нарушает целостность среды выполнения путем изменения загрузчика или компонента прошивки.

Эти недостатки затрагивают все основные IBV, такие как AMI, Insyde и Phoenix, а также сотни устройств потребительского и корпоративного уровня от таких производителей, как Intel, Acer и Lenovo, что делает их одновременно серьезными и широко распространенными.

Это раскрытие знаменует собой первую публичную демонстрацию поверхностей атаки, связанных с анализаторами графических изображений, встроенными в прошивку системы UEFI, с 2009 года, когда исследователи Рафал Войтчук и Александр Терешкин представлен как ошибка парсера изображений BMP может быть использована для сохранения вредоносного ПО.

«Типы – и объем – обнаруженных уязвимостей безопасности […] показать полную зрелость безопасности продукта и качество кода в целом на эталонном коде IBV», — отметил Binarly.