LogoFAIL, UEFI प्रतिमा विश्लेषकांमधील भेद्यतेची मालिका

काही दिवसांपूर्वी, बायनरली संशोधकांनी उघड केले, ब्लॉग पोस्टद्वारे, मध्ये वापरलेल्या प्रतिमा विश्लेषण कोडमधील भेद्यतेची मालिका फर्मवेअर UEFI चा x86 आणि ARM-आधारित उपकरणे, Windows आणि Linux प्रणालींना प्रभावित करते. भेद्यता म्हणतात एकत्रितपणे LogoFAIL कारण ते UEFI प्रतिमा विश्लेषकांमध्ये अस्तित्वात आहेत जे सिस्टम बूट झाल्यावर निर्मात्याचा लोगो प्रदर्शित करतात.

असुरक्षितता EFI सिस्टम विभाजनामध्ये प्रतिमा फाइल्सच्या इंजेक्शनपासून उद्भवते (ESP), बूट प्रक्रियेचा एक महत्त्वाचा घटक. भेद्यता रनटाइमच्या अखंडतेवर थेट परिणाम करत नसली तरी, ते मालवेअरला सिस्टममध्ये संचयित करण्याची परवानगी देऊन सतत हल्ल्यांसाठी दार उघडतात.

LogoFAIL बद्दल

बायनरली संशोधक ते नमूद करतात की लेनोवो फर्मवेअरच्या विश्लेषणादरम्यान असुरक्षा ओळखल्या गेल्या Insyde, AMI आणि Phoenix कडील प्लॅटफॉर्मवर बांधले गेले, परंतु Intel आणि Acer कडील फर्मवेअर देखील संभाव्य असुरक्षित म्हणून नमूद केले गेले.

असुरक्षिततेची समस्या त्या वस्तुस्थितीमुळे आहे बहुतेक पीसी उत्पादक ते मूठभर कंपन्यांनी विकसित केलेले UEFI वापरतात इंडिपेंडंट BIOS व्हेंडर्स (IBV) म्हणून ओळखले जाते जे संगणक उत्पादकांना फर्मवेअर सानुकूलित करण्याची परवानगी देतात, एकतर त्यांचा स्वतःचा लोगो आणि इतर ब्रँडिंग घटक संगणकाच्या स्क्रीनवर प्रारंभिक बूट टप्प्यात प्रदर्शित करतात.

फर्मवेअर आधुनिक UEFI मध्ये विविध स्वरूपातील प्रतिमांसाठी प्रतिमा विश्लेषक आहेत भिन्न (BMP, GIF, JPEG, PCX आणि TGA), जे अटॅक वेक्टरचा लक्षणीय विस्तार करते आणि त्यामुळे असुरक्षितता दूर होण्याची शक्यता आहे. खरेतर, इनसाइड, AMI आणि फिनिक्स फर्मवेअरमध्ये वापरल्या जाणार्‍या प्रतिमा विश्लेषकांमध्ये बिनरली टीमला 29 समस्या आढळल्या, त्यापैकी 15 अनियंत्रित कोड अंमलबजावणीसाठी शोषण करण्यायोग्य होत्या.

"हा अटॅक वेक्टर बहुतेक एंडपॉइंट सिक्युरिटी सोल्यूशन्सला बायपास करून आणि सुधारित लोगो इमेजसह ESP विभाजन किंवा फर्मवेअर कॅप्सूलमध्ये टिकून राहणारे एक स्टिल्थी फर्मवेअर बूट किट वितरीत करून आक्रमणकर्त्याला फायदा देऊ शकतो."

विशेषत: तयार केलेल्या प्रतिमा फाइल्सच्या इंजेक्शनमुळे असुरक्षा उद्भवते, जे UEFI सुरक्षा वैशिष्‍ट्ये अक्षम करण्‍यासाठी, UEFI बूट ऑर्डर सुधारित करण्‍यासाठी आणि आक्रमणकर्त्याला दूरस्थपणे सिस्‍टममध्‍ये प्रवेश करण्‍यासाठी किंवा आक्रमणकर्त्याला टार्गेटवरून भौतिक प्रवेश मिळवण्‍याची अनुमती देण्‍यासाठी ईएसपी विभाजनात स्थानिक विशेषाधिकारित प्रवेश प्रदान करू शकते.

तसे, या असुरक्षा संपूर्ण प्रणालीच्या सुरक्षिततेशी तडजोड करू शकतात, "सब-ओएस" सुरक्षा उपायांचे प्रस्तुतीकरण, जसे की इंटेल बूट गार्डसह कोणत्याही प्रकारचे सुरक्षित बूट, अप्रभावी. तडजोडीच्या या पातळीचा अर्थ असा आहे की आक्रमणकर्ते प्रभावित प्रणालींवर खोल नियंत्रण मिळवू शकतात.

"काही प्रकरणांमध्ये, आक्रमणकर्ता या दुर्भावनापूर्ण प्रतिमा अपलोड करण्यासाठी विक्रेत्याने प्रदान केलेला लोगो सानुकूलन इंटरफेस वापरू शकतो."

हा नवीन धोका वापरकर्ते आणि संस्थांसाठी एक प्रमुख चिंता वाढवते ते Intel, Acer, Lenovo आणि UEFI फर्मवेअर विक्रेत्यांसारख्या AMI, Insyde आणि Phoenix सारख्या प्रमुख उत्पादकांच्या उपकरणांवर अवलंबून असतात.

आतापर्यंत, तीव्रता निश्चित करणे कठीण आहे, कारण कोणतेही सार्वजनिक शोषण प्रकाशित केले गेले नाही आणि आताच्या काही सार्वजनिक भेद्यतेला LogoFAIL असुरक्षा शोधलेल्या Binarly संशोधकांनी वेगळ्या पद्धतीने रेट केले आहे.

प्रकटीकरण प्रथम सार्वजनिक प्रात्यक्षिक चिन्हांकित करते संबंधित आक्रमण पृष्ठभागांची ग्राफिक प्रतिमा विश्लेषकांसह 2009 पासून UEFI सिस्टम फर्मवेअरमध्ये एम्बेड केलेले, जेव्हा संशोधक रफाल वोजत्चुक आणि अलेक्झांडर तेरेश्किन यांनी मालवेअर टिकून राहण्यासाठी BMP प्रतिमा पार्सर बगचा कसा उपयोग केला जाऊ शकतो हे सादर केले.

BlackLotus किंवा BootHole च्या विपरीत, LogoFAIL बूटलोडर किंवा फर्मवेअर घटक बदलून रनटाइमची अखंडता खंडित करत नाही हे लक्षात घेण्यासारखे आहे.

शेवटी, आपल्याला त्याबद्दल अधिक जाणून घेण्यात स्वारस्य असल्यास, आपण मधील तपशील तपासू शकता खालील दुवा.