BIOS: Троянский конь в вашем компьютере

Многочисленные уязвимости безопасности с общим названием LogoFAIL позволяют злоумышленникам вмешиваться в процесс загрузки компьютерных устройств и внедрять буткиты, благодаря проблемам, связанным с компонентами анализа изображений, которые производители материнских плат используют для отображения фирменных логотипов при старте компьютера. Под угрозой как устройства с архитектурой x86, так и ARM.

Исследователи из компании Binarly, специализирующейся на безопасности цепочек поставок прошивок для материнских плат, отметили в своём недавнем отчёте , что брендирование вносит ненужные риски безопасности, позволяя хакерам выполнять вредоносные действия путём внедрения зловредных изображений в раздел EFI System Partition (ESP).

Возможность производить атаки на встроенный загрузочный интерфейс компьютера подобным способом была продемонстрировано ещё в далёком 2009 году, когда исследователи Рафал Войтчук и Александр Терешкин показали, как можно использовать баг анализатора BMP-изображений для заражения BIOS вредоносным ПО.

Обнаружение уязвимостей LogoFAIL началось как небольшой исследовательский проект по изучению поверхностей атаки с помощью компонентов для анализа изображений в контексте пользовательского или устаревшего кода для анализа во встроенном ПО UEFI.

Исследователи обнаружили, что злоумышленник может хранить вредоносное изображение или логотип в системном разделе EFI или в неподписанных разделах обновления встроенного программного обеспечения.

«Когда эти образы анализируются во время загрузки, может сработать уязвимость, и контролируемая злоумышленником полезная нагрузка может быть произвольно запущена, чтобы перехватить поток выполнения и обойти функции безопасности, такие как Secure Boot, Intеl Boot Guard, AMD Hardware-Validated Boot или ARM TrustZone», — сообщили эксперты Binarly.

Заражение вредоносным ПО таким образом обеспечивает стойкость в системе, которая практически не обнаруживается, как это было, например, с вредоносом CosmicStrand, о котором мы рассказывали в прошлом году. LogoFAIL абсолютно не влияет на целостность системы в режиме выполнения, поскольку нет необходимости изменять загрузчик или прошивку.

Исследователи подчёркивают, что уязвимости LogoFAIL не зависят от конкретного вендора железа и влияют на устройства и чипы от самых разных производителей, затрагивая UEFI-прошивки как потребительских, так и корпоративных устройств.

Binarly уже определила, что сотни устройств от Intel, Acer, Lenovo и других производителей потенциально уязвимы, как и три основных независимых поставщика пользовательского кода прошивки UEFI: AMI, Insyde и Phoenix.
Однако также стоит отметить, что точный масштаб воздействия LogoFAIL ещё предстоит определить.

«Хотя мы все ещё находимся в процессе понимания реальных масштабов LogoFAIL, мы уже обнаружили, что сотни устройств потребительского и корпоративного уровня, потенциально уязвимы для этой новой атаки», — сообщили исследователи.

Полная техническая информация о LogoFAIL будет представлена 6 декабря на конференции по безопасности Black Hat Europe в Лондоне. Исследователи уже раскрыли выявленные результаты нескольким поставщикам устройств, а также основным поставщикам UEFI.