Binarly
继上周Bootkitty现身后,研究人员又发现,去年发现的一组UEFI韧体漏洞,已有人发展出滥用手法来植入Bootkitty这第一只可在Linux执行的UEFI Bootkit程式。
去年12月,资安厂商Binarly研究人员发现到的漏洞为LogoFAIL,编号CVE-2023-40238。它是位于旧版Insyde InsydeH2O UEFI BIOS中的图片解析器BmpDecoderDxe的图片解析漏洞,影响5.2(05.28.47以前)、5.3(05.37.47以前)、5.4(05.45.47以前)、5.5(05.53.47以前)和5.6(05.60.47以前)版本。攻击者可传送恶意BMP logo,在开机过程影像解析过程中将资料复制到特定位址,滥用LogoFAIL漏洞最终会使基本的UEFI端点安全措施失效,使攻击者得以对受影响的系统深度控制。BIOS厂商系微(Insyde)已经在去年12月释出更新版,可解决该漏洞。
今年Binarly又发现,有人发展出滥用LogoFAIL漏洞植入恶意程式的行为。他们发现一个名为16MB大小的logofail.bmp图档,当传送给受害Linux机器时,能在图片解析过程中注入shellcode,而在装置UEFI韧体程式的MokList变量中注入恶意凭证,借此允许一个GRUB配置档在机器上执行。该档内含后门程式的Linux核心图档,成功绕过安全开机(Secure Boot)防护,以便将后门程式植入受害系统。结果就是让Bootkitty通过验证,植入Linux装置。
研究显示,本攻击手法是针对特定硬体配置,受影响BIOS模组的电脑品牌涵括联想等数家厂商。研究人员说明,系微一年前已释出更新版,没有安装更新版的装置就可能曝露于风险。
必须说明的是,ESET研究人员发现的Bootkitty虽然可能只是概念性验证(PoC)程式,而非已用于攻击的恶意程式,但已显示,Linux装置不再能自外于UEFI恶意开机程式滥用风险。