Toliau pridėtas naujinys apie šį įkrovos rinkinį, kurį kuria Korėjos geriausiųjų (BoB) kibernetinio saugumo mokymo programos studentai.
Neseniai atskleistas „Bootkitty“ Linux UEFI įkrovos rinkinys išnaudoja LogoFAIL trūkumą, pažymėtą kaip CVE-2023-40238, kad būtų nukreiptas į kompiuterius, kuriuose veikia pažeidžiama programinė įranga.
Tai patvirtina programinės įrangos saugos įmonė „Binarly“, kuri 2023 m. lapkritį atrado „LogoFAIL“ ir perspėjo, kad ji gali būti naudojama tikrosiose atakose.
Bootkitty ir LogoFAIL ryšys
„Bootkitty“ atrado ESET, kuri praėjusią savaitę paskelbė ataskaitą, kurioje pažymėjo, kad tai yra pirmasis UEFI įkrovos rinkinys, skirtas konkrečiai „Linux“. Tačiau šiuo metu tai yra labiau kuriama UEFI kenkėjiška programa, kuri veikia tik konkrečiose Ubuntu versijose, o ne plačiai paplitusi grėsmė.
LogoFAIL yra įvairių aparatinės įrangos pardavėjų naudojamų UEFI programinės įrangos vaizdų vaizdų analizės kodo trūkumų rinkinys, kurį gali išnaudoti kenkėjiški vaizdai arba logotipai, įterpti į EFI sistemos skaidinį (ESP).
„Kai šie vaizdai išanalizuojami įkrovos metu, pažeidžiamumas gali būti suaktyvintas, o užpuoliko valdoma naudingoji apkrova gali būti savavališkai vykdoma siekiant užgrobti vykdymo srautą ir apeiti tokias saugos funkcijas kaip saugus įkrovimas, įskaitant aparatūros pagrindu veikiančius Verified Boot mechanizmus“, – anksčiau aiškino Binarly.
Remiantis naujausia „Binarly“ ataskaita, „Bootkitty“ į BMP failus („logofail.bmp“ ir „logofail_fake.bmp“) įterpia apvalkalo kodą, kad apeitų saugaus įkrovos apsaugą, į „MokList“ variantą įterpdama nesąžiningus sertifikatus.
Šaltinis: Binarly
Failo „logofail.bmp“ pabaigoje įterpiamas apvalkalo kodas, o neigiama aukščio reikšmė (0xfffffd00) suaktyvina ribų peržengimo rašymo pažeidžiamumą analizuojant.
Teisėtas „MokList“ pakeičiamas nesąžiningu sertifikatu, kuris veiksmingai įgalioja kenkėjišką įkrovos įkroviklį („bootkit.efi“).
Nukreipęs vykdymą į apvalkalo kodą, Bootkitty atkuria perrašytas atminties vietas pažeidžiamoje funkcijoje (RLE8ToBlt) su originaliomis instrukcijomis, todėl visi akivaizdaus klastojimo požymiai ištrinami.
Šaltinis: Binarly
Poveikis konkrečiai aparatūrai
„Binarly“ teigia, kad „Bootkitty“ gali paveikti bet kurį įrenginį, kuris nebuvo pataisytas prieš „LogoFAIL“, tačiau dabartinis jo apvalkalo kodas tikisi, kad bus naudojamas konkretus kodas, naudojamas programinės įrangos moduliuose, esančiuose „Acer“, HP, „Fujitsu“ ir „Lenovo“ kompiuteriuose.
Tyrėjo atlikta bootkit.efi failo analizė nustatė, kad „Lenovo“ įrenginiai, pagrįsti „Insyde“, yra jautriausi, nes „Bootkitty“ nurodo konkrečius šio prekės ženklo naudojamus kintamųjų pavadinimus ir kelius. Tačiau tai gali reikšti, kad kūrėjas tik išbando įkrovos rinkinį savo nešiojamame kompiuteryje ir vėliau pridės palaikymą didesniam įrenginių spektrui.
Kai kurie plačiai naudojami įrenginiai, kurių naujausia programinė įranga vis dar yra pažeidžiama LogoFAIL išnaudojimų, yra IdeaPad Pro 5-16IRH8, Lenovo IdeaPad 1-15IRU7, Lenovo Legion 7-16IAX7, Lenovo Legion Pro 5-16IRX8 ir Lenovo Yoga 9-14IRP8.
„Praėjo daugiau nei metai nuo tada, kai pirmą kartą paskelbėme pavojaus signalą apie LogoFAIL, tačiau daugelis paveiktų šalių išlieka pažeidžiamos dėl vieno ar kelių LogoFAIL pažeidžiamumo variantų“, – perspėja Binarly.
„Bootkitty yra aiškus priminimas apie pasekmes, kai šios spragos nėra tinkamai pašalintos arba kai pataisymai nėra tinkamai įdiegiami lauko įrenginiuose.
Jei naudojate įrenginį, kuriame nėra saugos naujinimų, kad sumažintumėte LogoFAIL riziką, apribokite fizinę prieigą, įgalinkite saugų įkrovimą, apsaugokite slaptažodžiu UEFI / BIOS nustatymus, išjunkite įkrovą iš išorinės laikmenos ir atsisiųskite programinės aparatinės įrangos naujinimus tik iš oficialios OĮG svetainės. .
Atnaujinimas 12/2/24: Šiandien ESET atnaujino savo pradinį „BootKitty“ straipsnį, nurodydama, kad projektą sukūrė kibernetinio saugumo studentai pagal Korėjos mokymo programą „Best of the Best“ (BoB).
„Pagrindinis šio projekto tikslas – didinti saugumo bendruomenės informuotumą apie galimas rizikas ir skatinti imtis aktyvių priemonių panašioms grėsmėms išvengti“, – ESET sakoma programoje.
„Deja, prieš planuojamą konferencijos pristatymą buvo atskleista keletas įkrovos rinkinių pavyzdžių.
