Brother
Professional
- Messages
- 2,590
- Reaction score
- 483
- Points
- 83
Код Unified Extensible Firmware Interface (UEFI) от различных независимых поставщиков встроенного программного обеспечения / BIOS (IBV) был признан уязвимым для потенциальных атак из-за серьезных недостатков в библиотеках анализа изображений, встроенных в встроенное программное обеспечение.
Недостатки, в совокупности с меткой LogoFAIL по Binarly, "может использоваться угроз, чтобы доставить вредоносную нагрузку и обхода блокировки безопасной загрузки, загрузки Intel гвардии и других силовых технологий проектирования".
Более того, их можно использовать для обхода решений безопасности и доставки постоянного вредоносного ПО в скомпрометированные системы на этапе загрузки путем внедрения вредоносного файла изображения логотипа в системный раздел EFI.
Хотя проблемы не связаны с silicon, что означает, что они влияют как на устройства на базе x86, так и на ARM, они также зависят от UEFI и IBV. Уязвимости включают ошибку переполнения буфера на основе кучи и выход за пределы доступа, подробности о которых, как ожидается, будут обнародованы позже на этой неделе на конференции Black Hat Europe.
В частности, эти уязвимости срабатывают при анализе введенных изображений, что приводит к выполнению полезных нагрузок, которые могут перехватывать поток и обходить механизмы безопасности.
"Этот вектор атаки может дать злоумышленнику преимущество в обходе большинства решений для обеспечения безопасности конечных точек и предоставлении загрузочного комплекта скрытого встроенного программного обеспечения, который будет сохраняться в разделе ESP или капсуле встроенного программного обеспечения с измененным изображением логотипа", - сказали в компании по обеспечению безопасности встроенного программного обеспечения.
При этом субъекты угрозы могут получить надежный контроль над затронутыми хостами, что приведет к развертыванию постоянного вредоносного ПО, которое может оставаться незамеченным.
В отличие от BlackLotus или BootHole, стоит отметить, что LogoFAIL не нарушает целостность среды выполнения путем изменения загрузчика или компонента встроенного программного обеспечения.
Недостатки затрагивают все основные IBV, такие как AMI, Insyde и Phoenix, а также сотни устройств потребительского и корпоративного уровня от производителей, включая Intel, Acer и Lenovo, что делает проблему серьезной и широко распространенной.
Раскрытие информации знаменует собой первую публичную демонстрацию поверхностей атаки, связанных с анализаторами графических изображений, встроенными в системное программное обеспечение UEFI, с 2009 года, когда исследователи Рафал Войчук и Александр Терешкин представили, как ошибка анализатора изображений BMP может быть использована для сохранения вредоносного ПО.
"Типы – и огромный объем – обнаруженных уязвимостей в системе безопасности [...] демонстрируют чистую зрелость безопасности продукта и качество кода в целом по эталонному коду IBVs", - отметил Binarly.
Недостатки, в совокупности с меткой LogoFAIL по Binarly, "может использоваться угроз, чтобы доставить вредоносную нагрузку и обхода блокировки безопасной загрузки, загрузки Intel гвардии и других силовых технологий проектирования".
Более того, их можно использовать для обхода решений безопасности и доставки постоянного вредоносного ПО в скомпрометированные системы на этапе загрузки путем внедрения вредоносного файла изображения логотипа в системный раздел EFI.
Хотя проблемы не связаны с silicon, что означает, что они влияют как на устройства на базе x86, так и на ARM, они также зависят от UEFI и IBV. Уязвимости включают ошибку переполнения буфера на основе кучи и выход за пределы доступа, подробности о которых, как ожидается, будут обнародованы позже на этой неделе на конференции Black Hat Europe.
В частности, эти уязвимости срабатывают при анализе введенных изображений, что приводит к выполнению полезных нагрузок, которые могут перехватывать поток и обходить механизмы безопасности.
"Этот вектор атаки может дать злоумышленнику преимущество в обходе большинства решений для обеспечения безопасности конечных точек и предоставлении загрузочного комплекта скрытого встроенного программного обеспечения, который будет сохраняться в разделе ESP или капсуле встроенного программного обеспечения с измененным изображением логотипа", - сказали в компании по обеспечению безопасности встроенного программного обеспечения.
При этом субъекты угрозы могут получить надежный контроль над затронутыми хостами, что приведет к развертыванию постоянного вредоносного ПО, которое может оставаться незамеченным.
В отличие от BlackLotus или BootHole, стоит отметить, что LogoFAIL не нарушает целостность среды выполнения путем изменения загрузчика или компонента встроенного программного обеспечения.
Недостатки затрагивают все основные IBV, такие как AMI, Insyde и Phoenix, а также сотни устройств потребительского и корпоративного уровня от производителей, включая Intel, Acer и Lenovo, что делает проблему серьезной и широко распространенной.
Раскрытие информации знаменует собой первую публичную демонстрацию поверхностей атаки, связанных с анализаторами графических изображений, встроенными в системное программное обеспечение UEFI, с 2009 года, когда исследователи Рафал Войчук и Александр Терешкин представили, как ошибка анализатора изображений BMP может быть использована для сохранения вредоносного ПО.
"Типы – и огромный объем – обнаруженных уязвимостей в системе безопасности [...] демонстрируют чистую зрелость безопасности продукта и качество кода в целом по эталонному коду IBVs", - отметил Binarly.
