Araştırmacılar, sistemde mevcut olan bir dizi kritik güvenlik açığı olan “LogoFAIL”i ortaya çıkardılar. Birleşik Genişletilebilir Ürün Yazılımı Arayüzü (UEFI) ekosistemi PC’ler için.
Güvenlik açıklarından yararlanılması, temel uç nokta güvenlik önlemlerini geçersiz kılar ve saldırganlara etkilenen sistemler üzerinde derin kontrol sağlar.
Önümüzdeki hafta Londra’daki Black Hat Avrupa’da resmi olarak yayınlanacak Binarly Research raporuna göre, kusurlar önyükleme sürecindeki görüntü ayrıştırma kütüphanelerinden kaynaklanıyor ve hem x86 hem de ARM tabanlı cihazlardaki tüm büyük cihaz üreticilerini etkiliyor.
Araştırmacılar, LogoFAIL’in ciddiyetinin yaygın erişimi nedeniyle daha da kötüleştiği konusunda uyarıyor ve bunun yalnızca şurada burada bulunan bireysel satıcıları değil, tüm ekosistemi etkilediğini belirtiyor. Bulgular CERT/CC VINCE sistemi aracılığıyla rapor edildi ve satıcı yamalarının 6 Aralık’ta yayınlanması planlanıyor ve Black Hat konuşması şu şekilde: “LogoFAIL: Sistem Sırasında Görüntü Ayrıştırmanın Güvenlik Etkileri.”
LogoFAIL ile Önyükleme Sürecinin Ele Geçirilmesi
Binarly araştırmacıları, güvenliği ihlal edilmiş görüntüleri EFI Sistem Bölümüne (ESP) veya imzasız ürün yazılımı güncelleme bölümlerine yerleştirerek, tehdit aktörlerinin önyükleme sırasında kötü amaçlı kod çalıştırarak önyükleme sürecini ele geçirmelerine olanak sağladığını buldu.
Bu istismar, Secure Boot ve Intel Boot Guard gibi önemli güvenlik önlemlerini atlayarak işletim sistemi seviyesinin altında çalışan kalıcı bir ürün yazılımı önyükleme kitinin eklenmesini kolaylaştırır.
Binarly’nin CEO’su ve kurucusu Alex Matrosov, “Saldırgan, imtiyazlı kod yürütme yetkisini ürün yazılımına aldığı için, Güvenli Önyükleme gibi tasarım gereği güvenlik sınırlarını atlıyor” diye açıklıyor. “Intel Boot Guard ve diğer güvenilir önyükleme teknolojileri çalışma zamanında genişletilmez ve ürün yazılımı doğrulandıktan sonra yalnızca sistem önyükleme akışında daha ileri düzeyde önyükleme yapar.”
Binarly Research ekibinin başlangıçta laboratuvardaki Lenovo cihazlarından birinde logo değişikliği denemeleri yaptığını söyledi.
“Bir gün, önyükleme logosunu gösterdikten sonra aniden yeniden başlamaya başladı” diyor. “Sorunun temel nedeninin orijinal logodaki değişiklik olduğunu fark ettik ve bu da daha derin bir araştırmaya yol açtı.”
Şöyle ekliyor: “Bu durumda, tüm bütünlük ve güvenlik ölçümlerinin ürün yazılımı bileşenleri yüklenmeden önce gerçekleştiği çalışma zamanında yük dağıtımını tetikleyen, değiştirilmiş bir önyükleme logosu görüntüsüyle sürekli istismarla uğraşıyoruz.”
Bu şimdiye kadar keşfedilen ilk Güvenli Önyükleme bypass’ı değil; Kasım 2022’de bir Beş Acer dizüstü bilgisayar modelinde ürün yazılımı hatası bulundu Güvenli Önyüklemeyi devre dışı bırakmak ve kötü niyetli aktörlerin kötü amaçlı yazılım yüklemesine izin vermek için kullanılabilen; ve SiyahLotus veya Önyükleme Deliği Tehditler daha önce de önyükleme işleminin ele geçirilmesine kapıyı açmıştı. Ancak Matrosov, LogoFAIL’in önyükleyiciyi veya ürün yazılımı bileşenini değiştirerek çalışma zamanı bütünlüğünü bozmaması nedeniyle önceki tehditlerden farklı olduğunu söylüyor.
Aslında LogoFAIL’in, ürün yazılımı görüntüsünden kötü amaçlı girdi geldiğinde veya sistem önyükleme işlemi sırasında ESP bölümünden logo okunduğunda meydana gelen, yalnızca veriye yönelik bir saldırı olduğunu söylüyor. — ve bu nedenle tespit edilmesi zordur.
“ESP saldırı vektörüne böyle bir yaklaşım, logo dış bir kaynaktan geldiğinden, yazılımın kendi içindeki ürün yazılımı saldırısına dair sıfır kanıt bırakıyor” diye açıklıyor.
PC Ekosisteminin Çoğunluğu Savunmasız
Üç büyük bağımsız BIOS satıcısının (IBV’ler), Insyde, AMI ve Phoenix’in ürün yazılımıyla donatılmış cihazlar hassastır ve bu da çeşitli donanım türleri ve mimarileri üzerinde potansiyel bir etkiye işaret eder. Matrosov, üçünün BIOS ekosisteminin %95’ini kapsadığını söylüyor.
Aslında Matrosov, LogoFAIL’in Acer, Gigabyte, HP, Intel, Lenovo, MSI, Samsung, Supermicro, Fujitsu ve “diğerleri” gibi çeşitli satıcıların tüketici ve kurumsal sınıf bilgisayarları da dahil olmak üzere “dünya çapındaki çoğu cihazı” etkilediğini söylüyor.
“Etkilenen cihazların tam listesi hâlâ belirleniyor ancak üç büyük IBV’nin (AMI, Insyde ve Phoenix) donanım yazılımlarının bir parçası olarak gönderdikleri görüntü ayrıştırıcılarla ilgili birden fazla güvenlik sorunu nedeniyle etkilendiğini unutmamak çok önemli” Binarly raporu uyardı. “LogoFAIL’in bu satıcılar tarafından desteklenen neredeyse tüm cihazları şu veya bu şekilde etkilediğini tahmin ediyoruz.”
Phoenix Technologies ise bu hafta erken bir güvenlik bildirimi yayınladı (şimdi kaldırıldı ancak önbellek olarak kullanılabilir 6 Aralık’a kadar geri dönene kadar) hatanın (CVE-2023-5058), çeşitli cihazlar için gelişmiş güvenlik özellikleri sağlayan bir BIOS ürün yazılımı olan Phoenix SecureCore Technology 4’ün 1.0.5’ten düşük tüm sürümlerinde mevcut olduğunu ayrıntılarıyla anlatıyor .
Güncellenmiş bir sürümün mevcut olduğunu belirten bildirime göre, “Sistem önyüklemesi sırasında kullanıcı tarafından sağlanan açılış ekranının işlenmesinde, cihaza fiziksel erişimi olan bir saldırgan tarafından istismar edilebilecek bir kusur mevcut.” “Saldırgan, kötü amaçlı bir açılış ekranı sağlayarak, hizmet reddi saldırısına neden olabilir veya UEFI DXE aşamasında rastgele kod çalıştırarak Güvenli Önyükleme mekanizmasını atlayabilir ve sistem bütünlüğünü tehlikeye atabilir.”
LogoFAIL ayrıca Insyde tarafından CVE-2023-40238 olarak ve AMI tarafından CVE-2023-39539 ve CVE-2023-39538 olarak takip edilmektedir.
Matrosov, şirketin çeşitli yelpazedeki açıklama ve hafifletme çabalarını koordine etmek için birden fazla cihaz satıcısıyla aktif olarak işbirliği yaptığını söyledi.
Firmware Güncellemeleri Riski En Aza İndirmenin Anahtarı
Genel olarak ürün yazılımı riskini en aza indirmek için kullanıcıların üretici tavsiyelerini takip etmesi ve ürün yazılımı güncellemelerini hemen uygulaması gerekir; çünkü bu güncellemeler genellikle kritik güvenlik kusurlarını giderir.
Ayrıca tedarikçilerin incelenmesi de bir zorunluluktur. Matrosov, “Kişisel cihaz veya kurumsal altyapınızdaki cihazlar olarak günlük olarak güvendiğiniz cihaz satıcıları konusunda seçici olun” diye ekliyor. “Satıcılara körü körüne güvenmeyin, bunun yerine satıcının güvenlik vaatlerini doğrulayın ve cihaz envanterinizdeki ve ötesindeki boşlukları belirleyin.”