固件安全公司 Binarly 周三披露了一种攻击方法的细节,该方法可通过利用恶意 UEFI logo images来危害许多消费者和企业设备。
这种被称为LogoFAIL的攻击方法利用 UEFI 固件使用的图像解析器中的漏洞在启动过程或 BIOS 设置中显示徽标。让受影响的解析器处理特制的图像可以使攻击者劫持执行流并运行任意代码。
黑客可以使用 LogoFAIL 攻击来危害整个系统并绕过安全启动等安全措施。
“这些漏洞可能会危及整个系统的安全性,导致‘操作系统下方’的安全措施(例如任何安全启动方式)失效,包括英特尔 Boot Guard。这种程度的攻击意味着攻击者可以获得对受影响系统的深度控制。”Binarly 解释道。
Binarly 的分析表明,UEFI 供应商对 BMP、PNG、JPEG、GIF 和其他类型的图像使用各种类型的解析器。该安全公司的研究针对的是 Insyde、AMI 和 Phoenix 的固件,并发现了24个漏洞,其中一半以上已被授予“高严重性”评级。
受影响的固件影响全球主流计算机型号,包括宏碁、戴尔、Framework、富士通、技嘉、惠普、英特尔、联想、MSI、三星和 Supermicro 等公司制造的数百种消费者和企业计算机型号(包括基于 x86 和 ARM 的设备)。这意味着全球数百万台设备可能会受到攻击。
通过滥用固件更新程序,用恶意版本替换合法徽标,可以发起 LogoFAIL 攻击。假设徽标不受硬件验证启动技术的保护,则使用 SPI 闪存编程器也可能通过物理访问进行攻击。
一些供应商(包括英特尔、宏碁和联想)提供的功能使用户能够自定义启动过程中显示的徽标,从而可以从操作系统发起 LogoFAIL 攻击,而无需物理访问设备。
值得注意的是,虽然在上述所有供应商的设备中都发现了图像解析器漏洞,但它们并不总是会被利用。例如,在戴尔的案例中,该徽标受到英特尔 Boot Guard 的保护,即使攻击者可以物理访问目标系统,也可以防止其被替换。此外,戴尔不提供任何徽标定制功能。
Binarly 在周三的黑帽欧洲会议上介绍了此次攻击的详细信息,该公司还发布了一篇技术博客文章描述其发现。
该安全公司发布了一段视频,展示了概念验证 (PoC) LogoFAIL 漏洞利用的实际情况,演示了拥有操作系统管理员权限的攻击者如何将权限升级到固件级别。
几个月前,这些漏洞已通过 CERT/CC 报告给受影响的供应商,但即使供应商创建了修复程序,这些类型的安全漏洞的补丁也可能需要很长时间才能到达终端设备。
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/bvfuswUqcLxIFt4K4f8knw
封面来源于网络,如有侵权请联系删除