據(jù)BleepingComputer消息�,韓國Best of the Best (BoB) 培訓(xùn)計(jì)劃的網(wǎng)絡(luò)安全學(xué)生利用 LogoFAIL 漏洞創(chuàng)建了新型惡意軟件Bootkitty��,能夠攻擊Linux系統(tǒng)設(shè)備��。
固件安全公司Binarly 于2023 年 11 月發(fā)現(xiàn)了 LogoFAIL��,并警告其可能被用于實(shí)際攻擊����。而安全公司ESET表示,Bootkitty 是第一個(gè)專門針對 Linux系統(tǒng)的惡意軟件��。
LogoFAIL 是圖像解析代碼中的一組缺陷���,源自各種硬件供應(yīng)商使用的 UEFI 固件映像�����,可被植入 EFI 系統(tǒng)分區(qū) (ESP) 上的惡意圖像或徽標(biāo)利用。Binarly指出�,當(dāng)這些鏡像在啟動(dòng)過程中被解析時(shí),可以觸發(fā)漏洞���,并且可以任意執(zhí)行攻擊者控制的有效負(fù)載來劫持執(zhí)行流程并繞過安全啟動(dòng)�,包括基于硬件的驗(yàn)證啟動(dòng)機(jī)制。
根據(jù) Binarly 的最新研究�,Bootkitty 在 BMP 文件("logofail.bmp "和 "logofail_fake.bmp")中嵌入了 shellcode,通過向 MokList 變體注入流氓認(rèn)證來繞過安全啟動(dòng)保護(hù)��。
惡意圖片文件
合法的 MokList 被替換為惡意證書�,從而有效地授權(quán)了惡意引導(dǎo)程序('bootkit.efi')。在將執(zhí)行轉(zhuǎn)移到 shellcode 之后���,Bootkitty 會用原始指令恢復(fù)漏洞函數(shù) (RLE8ToBlt) 中被覆蓋的內(nèi)存位置��,因此任何明顯的篡改痕跡都會被清除��。
攻擊鏈概述
對特定硬件的影響
Bootkitty 可能會影響任何未對 LogoFAIL 進(jìn)行修補(bǔ)的設(shè)備��,但其當(dāng)前的shellcode限于宏碁���、惠普、富士通和聯(lián)想電腦上固件模塊使用的特定代碼����。研究人員對 bootkit.efi 文件的分析確定,基于 Insyde 的聯(lián)想設(shè)備最容易受到影響�,因?yàn)?Bootkitty 引用了該品牌使用的特定變量名稱和路徑�。但是�,這可能表明開發(fā)人員只是在自己的筆記本電腦上測試 bootkit,稍后將添加對更廣泛設(shè)備的支持���。
一些最新固件仍然容易受到 LogoFAIL 漏洞的影響���,包括聯(lián)想IdeaPad Pro 5-16IRH8、IdeaPad 1-15IRU7�����、Legion 7-16IAX7���、Legion Pro 5-16IRX8 和Yoga 9-14IRP8���。
雖然該惡意軟件是出于安全目的而研發(fā),但Binarly警告稱��,自從首次敲響 LogoFAIL 警報(bào)以來已經(jīng)一年多���,仍有許多廠商產(chǎn)品仍然會受到 LogoFAIL 漏洞的一種或多種變體的影響。對此�,建議受影響的用戶限制物理訪問�、啟用安全啟動(dòng)����、密碼保護(hù) UEFI/BIOS 設(shè)置、禁用從外部介質(zhì)啟動(dòng)���,并且只從官方網(wǎng)站下載固件更新����。
參考資料:https://www.bleepingcomputer.com/news/security/bootkitty-uefi-malware-exploits-logofail-to-infect-linux-systems/
在線咨詢
在線咨詢
0371-63319761