Binarly
繼上周Bootkitty現身後,研究人員又發現,去年發現的一組UEFI韌體漏洞,已有人發展出濫用手法來植入Bootkitty這第一隻可在Linux執行的UEFI Bootkit程式。
去年12月,資安廠商Binarly研究人員發現到的漏洞為LogoFAIL,編號CVE-2023-40238。它是位於舊版Insyde InsydeH2O UEFI BIOS中的圖片解析器BmpDecoderDxe的圖片解析漏洞,影響5.2(05.28.47以前)、5.3(05.37.47以前)、5.4(05.45.47以前)、5.5(05.53.47以前)和5.6(05.60.47以前)版本。攻擊者可傳送惡意BMP logo,在開機過程影像解析過程中將資料複製到特定位址,濫用LogoFAIL漏洞最終會使基本的UEFI端點安全措施失效,使攻擊者得以對受影響的系統深度控制。BIOS廠商系微(Insyde)已經在去年12月釋出更新版,可解決該漏洞。
今年Binarly又發現,有人發展出濫用LogoFAIL漏洞植入惡意程式的行為。他們發現16MB大小的logofail.bmp圖檔,當傳送給受害Linux機器時,能在圖片解析過程中注入shellcode,而在裝置UEFI韌體程式的MokList變量中注入惡意憑證,藉此允許一個GRUB配置檔在機器上執行。該檔內含後門程式的Linux核心圖檔,成功繞過安全開機(Secure Boot)防護,以便將後門程式植入受害系統。結果就是讓Bootkitty通過驗證,植入Linux裝置。
研究顯示,本攻擊手法是針對特定硬體配置,受影響BIOS模組的電腦品牌涵括聯想等數家廠商。研究人員說明,系微一年前已釋出更新版,沒有安裝更新版的裝置就可能曝露於風險。
必須說明的是,ESET研究人員發現的Bootkitty雖然可能只是概念性驗證(PoC)程式,而非已用於攻擊的惡意程式,但已顯示,Linux裝置不再能自外於UEFI惡意開機程式濫用風險。
熱門新聞
2024-12-10
2024-12-08
2024-12-10
2024-12-10
2024-11-29
2024-12-10
2024-12-11