Предыдущая публикация
Уязвимость LogoFail затрагивает многие устройства Windows и Linux
Уязвимость LogoFail затрагивает многие устройства Windows и Linux. Ошибка обработки логотипов запуска при загрузке ОС открыла дверь для атак на системную прошивку, влияя на устройства Intel, Acer, Lenovo
Многие коммерческие компьютеры оказались подвержены ряду уязвимостей, связанных с ошибками обработки логотипов запуска во время загрузки ОС.
Исследователи безопасности из компании Binarly раскрыли уязвимость в системной прошивке, используемой производителями ПК в процессе загрузки. Уязвимость затрагивает устройства на базе архитектуры x86 и ARM.
Уязвимости обнаружены в BIOS от трех крупнейших производителей: AMI, Insyde и Phoenix. Эти прошивки широко используется в устройствах Intel, Acer и Lenovo. Генеральный директор Binarly заявляет, что около 95% всех компьютеров используют прошивку от трех производителей BIOS.
По оценкам Binarly, практически любое устройство, произведенное этими производителями, «в какой-то степени» является уязвимым.
Атака LogoFail использует уязвимости в парсерах изображений, которые затронутые устройства используют для отображения логотипов производителей во время загрузки. Различные парсеры изображений используются для отображения разных типов изображений, и «они изобилуют уязвимостями», по словам Матросова.
Злоумышленнику необходимо заменить изображение производителя на специально подготовленный файл, чтобы воспользоваться уязвимостью и выполнить произвольный код на компьютере. Хакеры могут хранить вредоносные образы логотипов в системном разделе EFI или в неподписанных разделах обновлений прошивки. Затем во время загрузки выполняется парсинг этих образов, что инициирует атаку на устройство.
Атака позволяет обойти такие функции безопасности, как Secure Boot. Binarly отмечает, что это также влияет на аппаратные системы Verified Boot, включая Intel Boot Guard, AMD Hardware-Validated Boot и ARM TrustZone-based Secure Boot.
Исследователи безопасности из компании Binarly раскрыли уязвимость в системной прошивке, используемой производителями ПК в процессе загрузки. Уязвимость затрагивает устройства на базе архитектуры x86 и ARM.
Уязвимости обнаружены в BIOS от трех крупнейших производителей: AMI, Insyde и Phoenix. Эти прошивки широко используется в устройствах Intel, Acer и Lenovo. Генеральный директор Binarly заявляет, что около 95% всех компьютеров используют прошивку от трех производителей BIOS.
По оценкам Binarly, практически любое устройство, произведенное этими производителями, «в какой-то степени» является уязвимым.
Атака LogoFail использует уязвимости в парсерах изображений, которые затронутые устройства используют для отображения логотипов производителей во время загрузки. Различные парсеры изображений используются для отображения разных типов изображений, и «они изобилуют уязвимостями», по словам Матросова.
Злоумышленнику необходимо заменить изображение производителя на специально подготовленный файл, чтобы воспользоваться уязвимостью и выполнить произвольный код на компьютере. Хакеры могут хранить вредоносные образы логотипов в системном разделе EFI или в неподписанных разделах обновлений прошивки. Затем во время загрузки выполняется парсинг этих образов, что инициирует атаку на устройство.
Атака позволяет обойти такие функции безопасности, как Secure Boot. Binarly отмечает, что это также влияет на аппаратные системы Verified Boot, включая Intel Boot Guard, AMD Hardware-Validated Boot и ARM TrustZone-based Secure Boot.
Исследователи полагают, что злоумышленник может обойти «большинство решений по защите конечных точек» и интегрировать в систему постоянный буткит для стелс-прошивки. Другими словами, злоумышленники могут использовать LogoFail, чтобы подорвать безопасность многих компьютерных систем.
Как защититься от атак
Для эксплуатации уязвимости злоумышленникам необходимо получить доступ уровня администратора устройства. Этого можно добиться с помощью вредоносной полезной нагрузки, загружаемой в систему, например, путем принуждения пользователя к запуску вредоносного ПО, или с помощью эксплойтов.
Получив доступ, злоумышленнику достаточно заменить загрузочный логотип производителя на вредоносный, который затем будет загружен на устройство во время запуска системы.
Киберпреступник сможет отключить функции безопасности UEFI, такие как SecureBoot, изменить порядок загрузки и запустить вредоносное ПО для заражения ОС.
Для некоторых из подверженных уязвимости устройств уже доступны защитные патчи. Администраторам устройств рекомендуется проверить доступность обновлений прошивки. Однако, не все затронутые устройства получат обновления. Особенно это касается устройств, поддержка которых уже прекращена.
Найти актуальные обновления прошивки можно на официальном сайте производителя устройства.
Пользователям устройств без обновлений прошивки следует быть особенно осторожными и использовать защитные решения, чтобы избежать первоначальной атаки на устройство (для которой необходим административный доступ).
Дополнительную информацию об уязвимости можно найти на сайте Binarly и в базе данных CERT.
#советыдлякомпьютера
Как защититься от атак
Для эксплуатации уязвимости злоумышленникам необходимо получить доступ уровня администратора устройства. Этого можно добиться с помощью вредоносной полезной нагрузки, загружаемой в систему, например, путем принуждения пользователя к запуску вредоносного ПО, или с помощью эксплойтов.
Получив доступ, злоумышленнику достаточно заменить загрузочный логотип производителя на вредоносный, который затем будет загружен на устройство во время запуска системы.
Киберпреступник сможет отключить функции безопасности UEFI, такие как SecureBoot, изменить порядок загрузки и запустить вредоносное ПО для заражения ОС.
Для некоторых из подверженных уязвимости устройств уже доступны защитные патчи. Администраторам устройств рекомендуется проверить доступность обновлений прошивки. Однако, не все затронутые устройства получат обновления. Особенно это касается устройств, поддержка которых уже прекращена.
Найти актуальные обновления прошивки можно на официальном сайте производителя устройства.
Пользователям устройств без обновлений прошивки следует быть особенно осторожными и использовать защитные решения, чтобы избежать первоначальной атаки на устройство (для которой необходим административный доступ).
Дополнительную информацию об уязвимости можно найти на сайте Binarly и в базе данных CERT.
#советыдлякомпьютера
Следующая публикация
Нет комментариев