Çeşitli bağımsız ürün yazılımı/BIOS satıcılarının (IBV’ler) Birleşik Genişletilebilir Ürün Yazılımı Arayüzü (UEFI) kodunun, ürün yazılımına gömülü görüntü ayrıştırma kitaplıklarındaki yüksek etkili kusurlar nedeniyle potansiyel saldırılara karşı savunmasız olduğu tespit edildi.
Toplu olarak etiketlenen eksiklikler LogoBAŞARISIZ Binarly tarafından “tehdit aktörleri tarafından kötü amaçlı bir yük sağlamak ve Güvenli Önyükleme, Intel Önyükleme Koruması ve diğer güvenlik teknolojilerini tasarım gereği atlamak için kullanılabilir.”
Ayrıca, EFI sistem bölümüne kötü amaçlı bir logo görüntü dosyası enjekte edilerek, güvenlik çözümlerini atlatmak ve önyükleme aşamasında güvenliği ihlal edilmiş sistemlere kalıcı kötü amaçlı yazılım dağıtmak için silah haline getirilebilir.
Sorunlar silikona özel olmasa da, yani hem x86 hem de ARM tabanlı cihazları etkiliyor, aynı zamanda UEFI ve IBV’ye de özel. Güvenlik açıkları, yığın tabanlı bir arabellek taşması kusurunu ve sınır dışı okumayı içeriyor; bunların ayrıntılarının bu haftanın sonlarında Black Hat Avrupa konferansında kamuya açıklanması bekleniyor.
Spesifik olarak bu güvenlik açıkları, enjekte edilen görüntüler ayrıştırıldığında tetikleniyor ve akışı ele geçirebilecek ve güvenlik mekanizmalarını atlayabilecek yüklerin yürütülmesine yol açıyor.
Firmware güvenlik şirketi, “Bu saldırı vektörü, saldırgana çoğu uç nokta güvenlik çözümünü atlama ve değiştirilmiş bir logo görüntüsüyle bir ESP bölümünde veya firmware kapsülünde varlığını sürdürecek gizli bir firmware bootkit’i sunma konusunda bir avantaj sağlayabilir” dedi.
Bunu yaparak, tehdit aktörleri etkilenen ana bilgisayarlar üzerinde sağlam bir kontrol elde edebilir ve bu da radarın altından uçabilen kalıcı kötü amaçlı yazılımların yayılmasına neden olabilir.
BlackLotus veya BootHole’dan farklı olarak LogoFAIL’in, önyükleyiciyi veya donanım yazılımı bileşenini değiştirerek çalışma zamanı bütünlüğünü bozmadığını belirtmekte fayda var.
Kusurlar AMI, Insyde ve Phoenix gibi tüm büyük IBV’lerin yanı sıra Intel, Acer ve Lenovo gibi satıcıların yüzlerce tüketici ve kurumsal sınıf cihazını da etkiliyor ve bu durum onu hem ciddi hem de yaygın hale getiriyor.
Açıklama, araştırmacılar Rafal Wojtczuk ve Alexander Tereshkin’in kötü amaçlı yazılım kalıcılığı için bir BMP görüntü ayrıştırıcı hatasından nasıl yararlanılabileceğini sunduğu 2009’dan bu yana, UEFI sistem donanım yazılımına gömülü grafik görüntü ayrıştırıcılarla ilgili saldırı yüzeylerinin halka açık ilk gösterimini işaret ediyor.
“Keşfedilen güvenlik açıklarının türleri ve miktarı […] Binarly, IBV’nin referans kodunda genel olarak saf ürün güvenliği olgunluğunu ve kod kalitesini gösterdiğini belirtti.