Πληθαίνουν οι ευπάθειες ασφάλειας με τη συλλογική ονομασία LogoFAIL, που επηρεάζουν τα στοιχεία ανάλυσης εικόνων στον κώδικα UEFI από διάφορους προμηθευτές. Οι ερευνητές προειδοποιούν ότι μπορούν να εκμεταλλευτούν την εκτέλεση της διαδικασίας εκκίνησης και να παραδώσουν bootkits.

Δείτε επίσης: Microsoft: Διορθώνει τα σφάλματα συνδεσιμότητας στην είσοδο του Office

Καθώς τα προβλήματα αφορούν τις βιβλιοθήκες επεξεργασίας εικόνων που οι προμηθευτές χρησιμοποιούν για την εμφάνιση λογοτύπων κατά τη διάρκεια της διαδικασίας εκκίνησης, έχουν ευρύτατη επίδραση και εκτείνονται στις αρχιτεκτονικές x86 και ARM.

Σύμφωνα με ερευνητές στην πλατφόρμα ασφάλειας της αλυσίδας προμηθειών firmware, η εταιρική ταυτότητα έχει εισάγει περιττούς κινδύνους ασφάλειας, καθιστώντας δυνατή την εκτέλεση κακόβουλων φορτίων μέσω της ενσωματωμένης εικόνας στον διαμερισμό του συστήματος EFI (ESP).

Η κατάχρηση των αναλυτών εικόνας για επιθέσεις στο Unified Extensible Firmware Interface (UEFI) αποδείχθηκε το 2009, όταν οι ερευνητές Rafal Wojtczuk και Alexander Tereshkin παρουσίασαν πώς μια ευπάθεια στον αναλυτή εικόνας BMP θα μπορούσε να εκμεταλλευτεί για τη μόλυνση του BIOS με κακόβουλο λογισμικό για μόνιμη μόλυνση.

Η ανακάλυψη των ευπαθειών LogoFAIL ξεκίνησε ως ένα μικρό ερευνητικό έργο για τις επιθέσεις σε επιφάνειες από στοιχεία ανάλυσης εικόνων στο πλαίσιο παραμετροποιημένου ή παλαιού κώδικα ανάλυσης στο UEFI firmware.

Οι ερευνητές διαπίστωσαν ότι ένας επιτιθέμενος θα μπορούσε να αποθηκεύσει μια κακόβουλη εικόνα ή λογότυπο στο EFI System Partition (ESP) ή σε μη υπογεγραμμένες ενότητες ενημέρωσης του firmware. Η τοποθέτηση κακόβουλου λογισμικού με τέτοιο τρόπο εξασφαλίζει την επιμονή στο σύστημα, η οποία είναι σχεδόν καθόλου ανιχνεύσιμη, όπως φαίνεται από προηγούμενες επιθέσεις που εκμεταλλεύονται μολυσμένα στοιχεία UEFI.

Το LogoFAIL δεν επηρεάζει την ακεραιότητα της εκτέλεσης καθώς δεν υπάρχει ανάγκη να τροποποιηθεί ο εκκινητής ή το firmware, μια μέθοδος που παρατηρείται στην ευπάθεια BootHole ή στο bootkit BlackLotus.

Οι ερευνητές υπογραμμίζουν ότι, επειδή οι ευπάθειες του LogoFAIL δεν είναι silicon-specific, επηρεάζουν προμηθευτές και επεξεργαστές από διάφορους κατασκευαστές. Τα σφάλματα είναι παρόντα σε προϊόντα από πολλούς μεγάλους κατασκευαστές συσκευών που χρησιμοποιούν UEFI firmware σε καταναλωτικές και επιχειρηματικές συσκευές.

Δείτε ακόμα: Exchange Online: Προβλήματα παράδοσης email λόγω των κανόνων anti-spam

Η Binarly έχει ήδη καθορίσει ότι εκατοντάδες συσκευές από Intel, Acer, Lenovo και άλλους προμηθευτές είναι ενδεχομένως ευάλωτες, καθώς και οι τρεις κύριοι ανεξάρτητοι πάροχοι εξατομικευμένου κώδικα UEFI firmware: AMI

, Insyde και Phoenix.

Ωστόσο, αξίζει επίσης να σημειωθεί ότι ο ακριβής βαθμός της επίδρασης του LogoFAIL εξακολουθεί να καθορίζεται. Οι πλήρεις τεχνικές λεπτομέρειες για το LogoFAIL θα παρουσιαστούν στο συνέδριο ασφάλειας Black Hat Europe στο Λονδίνο, στις 6 Δεκεμβρίου. Σύμφωνα με την περίληψη της παρουσίασης LogoFAIL, οι ερευνητές αποκάλυψαν τα ευρήματά τους σε πολλούς κατασκευαστές συσκευών (Intel, Acer, Lenovo) και στους τρεις κύριους παρόχους UEFI.

Ένα προληπτικό μέτρο που μπορεί να ληφθεί για την αποτροπή της εγκατάστασης bootkits μέσω εικόνων είναι η ενημέρωση του UEFI firmware σε τακτική βάση. Οι κατασκευαστές παρέχουν συχνά ενημερώσεις του firmware που περιέχουν διορθώσεις για γνωστά προβλήματα ασφαλείας. Η εγκατάσταση των τελευταίων ενημερώσεων μπορεί να βοηθήσει στην αποτροπή ευπάθειων που εκμεταλλεύονται οι bootkits.

Ένα άλλο σημαντικό μέτρο πρόληψης είναι η χρήση αξιόπιστων και ενημερωμένων λογισμικών αναπαραγωγής εικόνων. Ορισμένα λογισμικά αναπαραγωγής εικόνων μπορεί να έχουν ευπάθειες που εκμεταλλεύονται τα bootkits. Επιλέγοντας ένα αξιόπιστο και ενημερωμένο λογισμικό, μπορεί να μειωθεί η πιθανότητα εκμετάλλευσης τέτοιων ευπαθειών.

Επιπλέον, η προσοχή κατά την λήψη και ανοιγμα εικόνων από μη αξιόπιστες πηγές είναι σημαντική. Εικόνες που προέρχονται από αναξιόπιστες πηγές μπορεί να περιέχουν κακόβουλο κώδικα που εκμεταλλεύεται τις ευπάθειες του UEFI κώδικα. Αποφεύγοντας τη λήψη και ανοιγμα εικόνων από μη αξιόπιστες πηγές, μπορεί να μειωθεί η πιθανότητα εγκατάστασης bootkits.

Δείτε επίσης: Κρίσιμα RCE σφάλματα στο PHP Everywhere plugin θέτουν σε κίνδυνο WordPress sites

Τέλος, η εφαρμογή πολιτικών ασφαλείας στον UEFI κώδικα μπορεί να βοηθήσει στην πρόληψη της εγκατάστασης bootkits μέσω εικόνων. Οι πολιτικές ασφαλείας μπορούν να περιορίσουν τις ενέργειες που μπορεί να πραγματοποιήσει ο UEFI κώδικας κατά την αναπαραγωγή εικόνων, μειώνοντας την πιθανότητα εκμετάλλευσης των ευπαθειών.

Πηγή: bleepingcomputer