LogoFAIL は、UEFI で使用されるさまざまな画像解析ライブラリに影響を与える一連の脆弱性です。
数日前、 バイナリー研究者が明らかにした、ブログ投稿を通じて、 で使用されている画像解析コードに一連の脆弱性が存在する。 ファームウェア UEFI Windows および Linux システム、x86 および ARM ベースのデバイスの両方に影響します。 脆弱性は次のように呼ばれます。 集合的に ロゴ失敗 これは、システムの起動時にメーカーのロゴを表示する UEFI イメージ アナライザーに存在するためです。
脆弱性 EFI システム パーティションへのイメージ ファイルの挿入によって発生します。 (ESP)、起動プロセスの重要なコンポーネント。この脆弱性はランタイムの整合性に直接影響しませんが、システム内にマルウェアが保存されることを可能にするため、持続的な攻撃への扉を開きます。
ロゴFAILについて
二者関係の研究者 脆弱性は Lenovo ファームウェアの分析中に特定されたと述べています。 これらは Insyde、AMI、Phoenix のプラットフォーム上に構築されていますが、Intel と Acer のファームウェアも潜在的に脆弱であると言及されています。
脆弱性の問題 という事実によるものです ほとんどの PC メーカー 数社が開発した UEFI を使用しています 独立 BIOS ベンダー (IBV) として知られており、コンピューター メーカーがファームウェアをカスタマイズして、初期起動段階でコンピューター画面に独自のロゴやその他のブランド要素を表示できるようにします。
ファームウェア 最新の UEFI には、さまざまな形式の画像用の画像パーサーが含まれています 異なる (BMP、GIF、JPEG、PCX、TGA)、 これにより攻撃ベクトルが大幅に拡大します したがって、脆弱性がすり抜ける可能性があります。実際、Binarly チームは、Insyde、AMI、および Phoenix ファームウェアで使用されるイメージ パーサーに 29 件の問題を発見し、そのうち 15 件は任意のコード実行に悪用可能でした。
「この攻撃ベクトルは、ほとんどのエンドポイント セキュリティ ソリューションをバイパスし、変更されたロゴ イメージを持つ ESP パーティションまたはファームウェア カプセルに保持されるステルス ファームウェア ブート キットを配布することで、攻撃者に有利な立場を与える可能性があります。」
この脆弱性は、特別に細工された画像ファイルの挿入によって発生します。これにより、ESP パーティションへのローカル特権アクセスが提供され、UEFI セキュリティ機能が無効になり、UEFI ブート順序が変更されるため、攻撃者がシステムにリモート アクセスしたり、ターゲットから物理的にアクセスしたりできるようになります。
など、 これらの脆弱性はシステム全体のセキュリティを危険にさらす可能性があります。 Intel Boot Guard を含むあらゆる種類のセキュア ブートなどの「サブ OS」セキュリティ対策が無効になります。このレベルの侵害は、攻撃者が影響を受けるシステムを詳細に制御できることを意味します。
「場合によっては、攻撃者はベンダーが提供するロゴカスタマイズインターフェイスを使用して、これらの悪意のある画像をアップロードする可能性があります。」
この新たなリスクは ユーザーと組織に大きな懸念を引き起こす これらは、Intel、Acer、Lenovo などの主要メーカーのデバイスと、AMI、Insyde、Phoenix などの UEFI ファームウェア ベンダーに依存しています。
これまでのところ、公開されたエクスプロイトは公開されておらず、現在公開されている脆弱性の一部は、LogoFAIL 脆弱性を発見した Binarly 研究者によって異なる評価を受けているため、深刻度を判断することは困難です。
この開示は、初の公の場でのデモンストレーションとなる 関連する攻撃対象領域の グラフィック画像アナライザー付き 研究者の Rafal Wojtczuk 氏と Alexander Tereshkin 氏が、BMP イメージ パーサーのバグをマルウェアの永続化に悪用する方法を発表した 2009 年以来、UEFI システム ファームウェアに組み込まれています。
BlackLotus や BootHole とは異なり、LogoFAIL はブートローダーやファームウェア コンポーネントを変更することによってランタイムの整合性を壊さないことに注意してください。
最後に、 あなたがそれについてもっと知りたいなら、詳細はで確認できます 次のリンク。