在倫敦舉行的 BlackHat Europe 2023 會議期間,Binarly 研究人員揭開了一種新型攻擊的面紗,這種攻擊稱為標誌失敗。此次攻勢涉及數百種型號Windows電腦和 Linux,Ars Technica 報告。幾乎所有電腦品牌都受到這項發現的影響。
可以遠程執行的進攻依賴於十幾個嚴重漏洞,從未被開發人員識別。作業系統程式碼中的漏洞已經存在多年甚至數十年。
“大多數情況下,這些漏洞存在於原始碼內部,影響的不是單一供應商,而是該程式碼的整個生態系統以及使用該程式碼的設備供應商”,Binarly 解釋道,他指定了 LogoFail“不限於特定硬件,可以在x86或ARM設備上成功運行”。
LogoFail 攻擊是如何運作的?
LogoFail 攻擊的目標是統一可擴展韌體介面 (UEFI),即電腦作業系統和韌體之間的軟體介面。此整合軟體取代傳統的 BIOS(或基本輸入/輸出系統)提供啟動和操作電腦所需的基本功能。
具體來說,攻擊包括在啟動過程的第一步計算機的。這種方法可以繞過製造商設定的大部分安全機制。 Binarly 遺憾地表示,針對英特爾晶片的英特爾 Boot Guard 等措施隨後變得無效。為了部署該惡意軟體,研究人員依靠 UEFI 影像分析器。這些允許在電腦啟動過程中檢查、驗證和載入圖像。
要發動攻擊,潛在的攻擊者只需要替換徽標圖像具有旨在利用 UEFI 漏洞的相同外觀影像的合法性。顯然,您必須將 Dell、Samsung、HP 或 Acer 徽標替換為“修改後的啟動標誌圖像,觸發有效負載的傳遞”。從此,就有可能在電腦上執行惡意程式碼。正如二元研究人員所解釋的那樣,“從這一步開始,我們就可以完全控制目標設備的內存和磁碟,包括將啟動的作業系統”。
修復在望
LogoFAIL 可以透過兩種方式被利用。首先,利用網頁瀏覽器等應用程式中未修補的缺陷。獲得管理控制權後,攻擊者會在啟動時用惡意版本替換合法徽標圖像。另一種方法需要獲取實體訪問到未鎖定的裝置以將合法圖像檔案替換為惡意圖像檔案。
為了防止可能的攻擊,電腦和主機板製造商將部署 UEFI 安全性更新來修復漏洞。目前,沒有跡象表明攻擊者主動利用了導致 LogoFail 的一系列漏洞。然而,LogoFail 攻擊很難辨識。因此,操作被忽視並非不可能。
來源 : 技術藝術