UEFI güvenlik açıkları önemli tehditler oluşturarak bilgisayar korsanlarının sistem önyüklemesi sırasında kötü amaçlı kod yürütmesine, güvenlik önlemlerini atlamasına ve kalıcı kontrol oluşturmasına olanak tanır.
Bu kusurlardan yararlanmak, saldırganların tüm sistemi tehlikeye atmasına olanak tanıyarak aşağıdaki sonuçlara yol açar:
- Yetkisiz Erişim
- Veri hırsızlığı
- Uzlaşma sisteminin bütünlüğü
Binary araştırma ekibindeki siber güvenlik araştırmacıları yakın zamanda cihazları gizli kötü amaçlı yazılım saldırılarına maruz bırakan kritik UEFI açıklarını keşfetti.
Güvenlik analistleri bu güvenlik kusurlarının tamamına “LogoFAIL” adını verdi.
Teknik Analiz
LogoFAIL, aygıt önyüklemesi sırasında sistem donanım yazılımındaki görüntü ayrıştırma kitaplıklarında bulunan bir dizi yeni güvenlik açığıdır.
Bu kusurların etkisi birden fazla satıcıyı ve ekosistemi kapsıyor ve özellikle IBV’lerin (Bağımsız BIOS satıcısı) referans kodunu etkiliyor. LogoFAIL, savunmasız görüntü ayrıştırıcılar nedeniyle UEFI ve IBV’ye odaklanarak hem x86 hem de ARM cihazlarını etkiler.
Başlangıçta Lenovo cihazlarında bulunan ve BRLY-2023-006 tavsiye belgesi kapsamında güvenlik açıkları bildirilen LogoFAIL, küçük bir araştırma projesi olarak başladı.
IDA’daki efiXplorer eklentisi ile bulanıklaştırma ve statik analiz yoluyla görüntü ayrıştırma donanım yazılımı bileşenlerindeki saldırı yüzeylerini keşfeden, sektör çapında bir açıklama haline geldi.
İlk bulanıklaştırmanın ardından birçok kilitlenme, Binarly’nin dahili program analizi çerçevesiyle otomatik önceliklendirme yapılmasına yol açtı.
Insyde kodunda daha fazla güvenlik açığı keşfedildi ve BRLY-2022-018 danışma belgesi kapsamında rapor edildi.
Logo ayrıştırmadaki güvenlik açıkları, saldırganların kötü amaçlı görüntüleri EFI Sistem Bölümünde veya imzasız ürün yazılımı bölümlerinde depolamasına olanak tanır.
Önyükleme sırasında bunlardan yararlanmak şunları sağlar: –
- Keyfi infaz
- Güvenli Önyüklemeyi Atlamak
- Donanım Tabanlı Doğrulanmış Önyükleme mekanizmaları
Bu vektör, uç nokta güvenlik çözümlerini atlayarak gizli, kalıcı bir ürün yazılımı önyükleme kitine olanak tanır.
LogoFAIL, Güvenli Önyükleme ve Intel Önyükleme Korumasını atlayarak sistem güvenliğini tehlikeye atar ve saldırganlara derin kontrol sağlar.
ESP bölümlerinden yararlanmak, logo görüntüsü değişikliği yoluyla yeni bir yalnızca veriden yararlanma yaklaşımı sunarak ESP saldırı yüzeylerine bakış açısını değiştirir.
BlackLotus veya BootHole’dan farklı olarak LogoFAIL, önyükleyicileri veya ürün yazılımını değiştirmekten kaçınarak çalışma zamanı bütünlüğünü sağlar.
Değiştirilmiş bir önyükleme logosuyla yararlanmak, güvenlik ölçümlerinden sonra yük dağıtımını tetikleyerek, güvenliği ihlal edilmiş imzalı UEFI bileşenlerinin güvenli önyüklemeyi tespit edilmeden bozmasına olanak tanır.
Intel, Acer, Lenovo ve daha fazlasına ait yüzlerce cihaz, LogoFAIL’e karşı potansiyel olarak savunmasızdır ve aşağıdakiler gibi önemli IBV’leri etkiler: –
Donanım türünden (x86 veya ARM) bağımsız olarak etki, bu satıcılar tarafından desteklenen hemen hemen tüm cihazları kapsamaktadır. Kapsamlı güvenlik açıkları, IBV’lerin referans kodundaki ürün güvenliği olgunluğu ve kod kalitesindeki zorlukları ortaya çıkararak daha proaktif ve kapsamlı bir yaklaşım gerektirmektedir.