Toplu olarak LogoFAIL olarak adlandırılan birden fazla güvenlik açığı, çeşitli satıcıların UEFI kodundaki görüntü ayrıştırma bileşenlerini etkiler. Araştırmacılar, önyükleme sürecinin yürütme akışını ele geçirmek ve önyükleme kitleri dağıtmak için bunların istismar edilebileceği konusunda uyarıyor.
Sorunlar, satıcıların önyükleme rutini sırasında logoları göstermek için kullandıkları görüntü ayrıştırma kitaplıklarında olduğundan, geniş bir etkiye sahiptir ve x86 ve ARM mimarilerine kadar uzanır.
Ürün yazılımı tedarik zinciri güvenlik platformu Binarly’deki araştırmacılara göre, markalama gereksiz güvenlik riskleri getirerek, görüntü dosyalarını EFI Sistem Bölümüne (ESP) enjekte ederek kötü amaçlı yüklerin yürütülmesini mümkün kıldı.
LogoFAIL keşfi ve etkisi
Birleşik Genişletilebilir Ürün Yazılımı Arayüzüne (UEFI) yönelik saldırılar için görüntü ayrıştırıcıların kötüye kullanılması, 2009 yılında araştırmacılar Rafal Wojtczuk ve Alexander Tereshkin’in kötü amaçlı yazılımların kalıcılığını sağlamak amacıyla BIOS’a bulaşmak için bir BMP görüntü ayrıştırıcı hatasından nasıl yararlanılabileceğini göstermesiyle ortaya çıktı.
LogoFAIL güvenlik açıklarının keşfedilmesi, UEFI donanım yazılımındaki özel veya güncel olmayan ayrıştırma kodu bağlamında görüntü ayrıştırma bileşenlerinden gelen saldırı yüzeyleri üzerine küçük bir araştırma projesi olarak başladı.
Araştırmacılar, bir saldırganın kötü amaçlı bir görüntüyü veya logoyu EFI Sistem Bölümünde (ESP) veya bir ürün yazılımı güncellemesinin imzasız bölümlerinde depolayabileceğini buldu.
“Bu görüntüler önyükleme sırasında ayrıştırıldığında, güvenlik açığı tetiklenebilir ve saldırgan tarafından kontrol edilen bir veri, yürütme akışını ele geçirmek ve donanım tabanlı Doğrulanmış Önyükleme mekanizmaları (Intel Boot Guard gibi) dahil olmak üzere Güvenli Önyükleme gibi güvenlik özelliklerini atlamak için keyfi olarak yürütülebilir. AMD Donanım Doğrulamalı Önyükleme veya ARM TrustZone Tabanlı Güvenli Önyükleme)” – İkili
.png)
Kötü amaçlı yazılımların bu şekilde yerleştirilmesi, virüslü UEFI bileşenlerinden yararlanan geçmiş saldırılarda da görüldüğü gibi, sistemde neredeyse fark edilmeyen kalıcılık sağlar. [1, 2].
LogoFAIL çalışma zamanı bütünlüğünü etkilemez çünkü önyükleyiciyi veya ürün yazılımını değiştirmeye gerek yoktur; bu, BootHole güvenlik açığında veya BlackLotus önyükleme kitinde görülen bir yöntemdir.
Binarly’nin BleepingComputer ile özel olarak paylaştığı bir videoda, kavram kanıtlama (PoC) komut dosyasının çalıştırılması ve cihazın yeniden başlatılması, sistemde rastgele bir dosya oluşturulmasına neden oldu.
Araştırmacılar, LogoFAIL güvenlik açıklarının silikona özgü olmaması nedeniyle birden fazla üreticinin tedarikçilerini ve çiplerini etkilediğini vurguluyor. Sorunlar, tüketici ve kurumsal sınıf cihazlarda UEFI ürün yazılımını kullanan birçok büyük cihaz üreticisinin ürünlerinde mevcuttur.
Binarly, Intel, Acer, Lenovo ve diğer tedarikçilere ait yüzlerce cihazın yanı sıra özel UEFI ürün yazılımı kodunun üç büyük bağımsız sağlayıcısı olan AMI, Insyde ve Phoenix’in de potansiyel olarak savunmasız olduğunu belirledi.
Ancak LogoFAIL’in etkisinin tam kapsamının henüz belirlenme aşamasında olduğunu da belirtmekte fayda var.
Araştırmacılar, “LogoFAIL’in gerçek boyutunu hâlâ anlama sürecindeyken, yüzlerce tüketici ve kurumsal düzeyde cihazın muhtemelen bu yeni saldırıya karşı savunmasız olduğunu zaten bulduk” diyor.
LogoFAIL’in tüm teknik ayrıntıları 6 Aralık’ta Londra’daki Black Hat Europe güvenlik konferansında sunulacak.
LogoFAIL sunumunun özetine göre araştırmacılar bulgularını birden fazla cihaz satıcısına (Intel, Acer, Lenovo) ve üç büyük UEFI sağlayıcısına açıkladılar.