tarafından hazırlanan bir rapora göre Windows veya Linux çalıştıran bilgisayarlar, LogoFAIL adı verilen yeni bir ürün yazılımı saldırısına karşı savunmasızdır. Ars Teknik. Bu saldırının son derece etkili olduğu kanıtlanmıştır çünkü başarılı bir POST sonrasında sistem önyüklendiğinde genellikle görünen logoyu yeniden yazar (dolayısıyla “LogoFAIL” adı da buradan gelir), bu da önyükleme takımı saldırılarını önlemek için tasarlanmış güvenlik önlemlerini atlayabilecek kadar erkendir.
Sorun, Bağımsız BIOS Satıcıları (IBV’ler) tarafından sağlanan UEFI’yi kullanan tüm anakartları etkilemektedir. AMI, Insyde ve Phoenix gibi IBV’lerin anakart şirketlerine UEFI yamaları yayınlaması gerekecek. LogoFAIL’in UEFI’deki açılış logosunun üzerine yazma şekli nedeniyle, istismar herhangi bir Windows işletim sistemi veya Linux çekirdeğini çalıştıran Intel, AMD veya ARM kullanan herhangi bir platformda yürütülebilir. Sistem açıldığında yeniden yazılabilir önyükleme logosunun yürütülme şekli nedeniyle çalışır. Belirli işlevlerin varsayılan olarak açık tutulmasıyla hem DIY hem de önceden oluşturulmuş sistemleri etkiler.
Saldırı Modu
Bu istismar Binarly’deki araştırmacılar tarafından keşfedildi. bulgularını yayınladı. Saldırı, başarılı bir POST sonrasında ‘Sürücü Yürütme Ortamı’ (DXE) aşaması devam ederken meydana gelir. DXE, önyükleme işleminin devam etmesi için önyükleme ve çalışma zamanı hizmetlerinin yüklenmesinden, CPU’nun, yonga setinin ve diğer bileşenlerin doğru sırayla başlatılmasından sorumludur. LogoFAIL, UEFI açılış logosunu istismarla değiştirir ve bu daha sonra DXE aşaması sırasında yüklenir.
Araştırmacılar, bunun Intel Secure Boot ve Boot Guard etkinleştirilmiş ve Haziran ayından itibaren mevcut en son UEFI güncellemesine sahip Intel 11. nesil CPU tabanlı Lenovo ThinkCentre M70’lerde yürütülmesini ve istismarını gösterdi.
Binarly’nin kurucusu ve CEO’su Alex Matrodov, bu sorunun, önyükleme işlemi sırasında UEFI tarafından kullanılan görüntü ayrıştırma kitaplıklarında yeni keşfedilen bir güvenlik açığından yararlandığını vurguladı. LogoFAIL, CPU, işletim sistemi ve herhangi bir üçüncü taraf güvenlik yazılımı tarafından uygulanan tüm güvenlik çözümlerini atlamak için bu güvenlik açığından yararlanır. Açıktan yararlanma depolama sürücüsünde depolanmadığından, işletim sistemi yeniden biçimlendirildikten sonra bile enfeksiyonun ortadan kaldırılması imkansızdır. Bu UEFI düzeyindeki istismar, daha sonra herhangi bir güvenlik katmanı tarafından durdurulmadan bir önyükleme kiti yükleyebilir; bu da onu çok tehlikeli (ve çok etkili bir dağıtım mekanizması) hale getirir.
Mac’ler ve bazı önceden oluşturulmuş PC’ler güvenlidir
Dell gibi birçok OEM, logolarının UEFI’de değiştirilmesine izin vermez ve görüntü dosyaları Image Boot Guard tarafından korunur; dolayısıyla bu sistemler bu istismara karşı bağışıklıdır. Donanımı ve yazılımı Apple tarafından şirket bünyesinde geliştirilen Mac’ler, UEFI’ye sabit kodlanmış logo görsellerine sahiptir ve benzer şekilde korunur. Bu aynı zamanda Intel CPU’lar (sabit kodlu logo görüntüleri) üzerinde çalışan Mac’ler için de geçerlidir ve dolayısıyla bu Mac’ler de güvenlidir.
Sistem entegratörünüz BIOS’unda önyükleme görüntülerinin yeniden yazılmasına izin vermiyorsa sorun olmaz. Ancak diğer herkes için bu, hem anakart üreticileri hem de OEM’ler tarafından yamalanması gereken bir istismardır, zira araştırmalar her ikisinin de savunmasız olduğunu göstermektedir. Sisteminizin UEFI’sindeki görüntü ayrıştırmayı korumanın tek yolu, anakart üreticinizden veya OEM’den (bunu IBV’den alacak olan) almanız gereken yeni bir UEFI güvenlik yamasını yüklemektir.
BEN MİYİM, İçerideVe Lenovadiğerlerinin yanı sıra yayınlanmış tavsiyeler de var, ancak etkilenen şirketlerin tam listesi yok; sisteminizin savunmasız olup olmadığını görmek için OEM/anakart üreticinize danışmanız gerekir.
