Uç Nokta Güvenliği, Donanım / Çip Düzeyinde Güvenlik
UEFI Özelliği Yanıp Sönen Kurumsal Logo, Kötü Amaçlı Yazılım Dağıtımını Etkinleştirebilir
Prajeet Nair (@prajeetspeaks) •
4 Aralık 2023
Bilgisayar korsanları, yalnızca güvenilir işletim sistemlerini yüklemeye yönelik endüstri standardını aşan kötü amaçlı bir yük sağlamak için bilgisayar başlatılırken kurumsal bir logoyu yanıp sönecek şekilde tasarlanmış bir ürün yazılımı özelliğini kullanabilir.
Ayrıca bakınız: UEBA ile İçeriden Gelen Tehditleri Önlemek
Kusur, işletim sistemi devralmadan önce bir logo görüntüleyen, sistem donanım yazılımına yerleştirilmiş grafik görüntü ayrıştırıcılardan kaynaklanıyor; bu nedenle adı Binaryl’deki araştırmacılardan geliyor: “LogoFAIL.”
Güvenlik araştırmacıları, Birleşik Genişletilebilir Ürün Yazılımı Arayüzündeki güvenlik açıklarının üç büyük bağımsız BIOS satıcısı AMI, Insyde ve Phoenix’i de etkilediğini söylüyor. “LogoFAIL, bu satıcılar tarafından desteklenen hemen hemen her cihazı bir şekilde etkiliyor.”
Yama uygulaması zor ve çoğu zaman uç nokta güvenlik sistemlerinin ulaşamayacağı, ancak başlı başına minyatür bir işletim sistemi olan UEFI, araştırmacıların ve bilgisayar korsanlarının giderek artan ilgisini çekiyor. Bu yılın başlarında araştırmacılar, BlackLotus adlı ilk yaygın kötü amaçlı yazılım önyükleme setinin bilgisayar korsanlığı forumlarında 5.000 dolara satıldığını ortaya çıkardı (bkz: BlackLotus Kötü Amaçlı Yazılımı Windows Makinelerinde Güvenli Önyüklemeyi Atlıyor).
ABD federal hükümeti ağustos ayında bilgisayar üreticilerini UEFI güvenliğini iyileştirmeye çağırarak, sistem sahiplerinin UEFI bileşenlerini diğer bilgisayar yazılımlarıyla aynı şekilde denetleyebileceğini ve yönetebileceğini öne sürdü (bkz: ABD CISA, Temel Bilgisayar Bileşeninde İyileştirme Çağrısında Bulundu).
LogoFAIL potansiyel olarak BlackLotus’tan daha tehlikelidir. Binaryl, BlackLotus’tan farklı olarak “önyükleyiciyi veya donanım yazılımı bileşenini değiştirerek çalışma zamanı bütünlüğünü bozmaz” diyor. Intel, Acer ve Lenovo gibi satıcılar tarafından üretilen yüzlerce tüketici ve kurumsal sınıf cihaz potansiyel olarak savunmasızdır.
Bu kusur, saldırganların, UEFI spesifikasyonunun önyükleme yükleyicilerini depoladığı EFI sistem bölümüne veya bir ürün yazılımı güncellemesinin imzasız bölümlerine kötü amaçlı logo görüntüleri eklemesine olanak tanıyor. UEFI, BMP, GIF, JPEG, PCX ve TGA dosyalarını ayrıştırarak saldırı yüzeyini önemli ölçüde artırır.
Kötü amaçlı bir veriyi tetikleyen kötü amaçlı bir görüntü, “donanım tabanlı Doğrulanmış Önyükleme mekanizmaları (Intel Boot Guard, AMD Donanım Doğrulamalı Önyükleme veya ARM TrustZone tabanlı Güvenli Önyükleme gibi) dahil” Güvenli Önyükleme gibi güvenlik özelliklerini atlayabilir.