آسیب پذیری LogoFAIL امنیت UEFI را به چالش میکشد!
فهرست مطالب
LogoFAIL چیست؟
چندین آسیب پذیری جدید شناسایی شده است که با نام LogoFail شناخته می شود و بروی قسمت پردازشگر تصویر UEFI ها تاثیر می گذارد. مشکل اصلی در کتابخانه پردازشگر تصاویر فریمورهای مادربرد است که تولید کنندگان بردهای اصلی از آن برای نمایش لوگو در هنگام بوت استفاده می کنند. محققان امنیتی از این حفره های امنیتی پرده برداشتند که اجازه اجرای پیلودهای آلوده با تزریق فایل تصاویر به درون پارتیشن سیستمی EFI را میدهد.
بررسی آسیب پذیری
استفاده از کتابخانه image parser برای اجرای این حمله اولین بار در سال 2009 توسط محقق فعال در حوزه امنیت سایبری به نام Rafal Wojteczuk و Alexander Tereshkin معرفی گردید. آنها نشان دادند که چگونه می تواند با سوء استفاده از باگ پردازشگر تصویر BMP، بایوس سیستم را آلوده کرد تا بدافزار پایداری بیشتری داشته باشد. کشف آسیب پذیری LogoFail از جایی شروع شد که گروهی از محققین بروی پروژه کوچکی که سطح نفوذ قسمت پردازشگر تصویر UEFI بود کار می کردند. و متوجه شدند که یک مهاجم می تواند، یک تصویر آلوده یا یک تصویر لوگو را در پارتیشن سیستمی EFI (ESP) و یا در قسمت اختصاص نیافته آپدیت فریمور ذخیره کند.
هنگامی که چنین تصاویر در فرآیند بوت پردازش می شوند، این آسیب پذیری را می توان با یک پیلود کنترل شده توسط مهاجم، اکسپلویت کرده و جریان اصلی بوت را منحرف کرد. با به دست گرفتن فرآیند بوت می توان از ابزارهای امنیتی همچون Secure Boot و یا ابزارهای سخت افزارای مانند Intel Boot Guard, Amd Hardware-Validate Boot یا ARM TrustZone جلوگیری کند.
کاشتن بدافزار با چنین روشی پایداری آن را تضمین می کند. LogoFail نیازی به تغییر بوتلودر و یا فریمور ندارد که پیش از این در آسیب پذیری BootHole و بوتکیت BlackLotus با آن مواجه شده ایم. محققین خاطر نشان شدند که آسیب پذیری LogoFail تولید کنندگان و چیپهای بسیاری را تحت تاثیر قرار میدهند و محدود به یک نوع خاص از محصول نیست. این مشکل در محصولات متنوعی از تولید کنندگان که از فریمور UEFI استفاده می کنند وجود دارد. هزاران دستگاه از کمپانی های اینتل، ایسر، لنوو و سایر تولید کنندگان تحت تاثیر این آسیب پذیری هستند.
LogoFAIL چقدر جدیست؟
با استفاده از این آسیب پذیری امکان آلوده کردن فریمورهای UEFI و نصب بوت کیت های مختلف وجود خواهد داشت. در این آسیب پذیری با قرار دادن فایلهای مخرب در در قسمت unsigned پارتیشن سیستمی EFI و سوء استفاده از قابلیت پردازش تصاویر توسط فریمور عملکرد عادی آن را مختل کرده و روند بوت را تغییر دهیم. در صورتی که هکر موفق به اجرای این حمله شود و روند بوت سیستم را در دست گیرد خواهد توانست کدها و دستورات سیستمی مدنظرش را اجرا کند و در حالت کلی این آسیب پذیری به هکر دسترسی بسیار زیادی حتی قبل از اجرای سیستم عامل یا به اصطلاح below-the-OS را میدهد و این یعنی قابلیت های امنیتی همچون Secure Boot عملکرد خود را از دست خواهند داد.
با اینکه هنوز بدافزار شناخته شدهای که از این آسیب پذیری استفاده کند شناسایی نشده؛ اما از آن جایی که قبلا از نمونه هایی از بوت کیتهایی که توانایی دور زدن مولفه های امنیتی UEFI را دارند دیده ایم انتظار می رود به زودی شاهد انتشار بدافزارهایی که از این آسیب پذیری استفاده می کنند باشیم. با توجه به اینکه، آسیب پذیری LogoFAIL تعدادی بسیار زیادی دستگاه رایانهای را تحت الشعاع قرار میدهد، بایستی در برابر چنین تهدیداتی بیش از پیش حساسیت نشان داد. سطح دسترسی چنین بدافزارهایی شوخی بردار نیست و در صورت آلودگی به چنین تهدیداتی علاوه بر شناسایی بسیار سخت، روش پاکسازی پرهزینه ای نیز خواهند داشت. همانطور که اشاره شد تا لحظه نگارش این مقاله بدافزار شناخته شدهای که از LogoFAIL استفاده کند شناسایی نشده در صورت شناسایی نمونه مشابه در اسرع وقت اطلاعات مربوط به آن را منتشر خواهیم کرد.
0 دیدگاه