Bootkitty в действие: Първият в историята UEFI бууткит за Linux атакува Lenovo
Уязвимостта LogoFAIL се е трансформирала във вектор на офанзива за компютрите на Lenovo...
Емил Василев 18:14 | 03.12.2024 0 СподелиНай-четени
IT НовиниДаниел Десподов - 17:09 | 30.11.2024Руският хакер, за който в Съединени американски щати оповестиха премия от 10 млн. $, ще бъде съден в Калининград
IT НовиниДаниел Маринов - 16:25 | 01.12.2024Бизнесмен: От 23 дни нямам интернет и телефон, изгубвам доста пари
IT НовиниДаниел Десподов - 9:32 | 02.12.2024Изненада: Microsoft позволи инсталирането на Windows 11 на по-стари компютри, само че техните консуматори би трябвало да подпишат декларация за отвод от отговорност
Емил Василевhttps://www.kaldata.com/Binarly удостовери, че неотдавна откритият UEFI бууткит за Linux, наименуван „ Bootkitty “ употребява уязвимостта LogoFAIL, с цел да нападна компютри с уязвим фърмуер. Уязвимостта CVE-2023-40238, разпозната за първи път през ноември предходната година е обвързвана с обработката на изображения във фърмуера и разрешава на нападателите да заобиколят механизмите за сигурност, в това число Secure Boot.
Припомняме, че „ Bootkitty “ e пъpвият пo poдa cи UЕFІ бyттĸит зa Lіnuх-бaзиpaни cиcтeми. Cпopeд eĸcпepтитe „ Bootkitty “ ce cчитa зa дoĸaзaтeлcтвo зa ĸoнцeпциятa „ рrооf-оf-соnсерt “ (РоС) и вce oщe нe e изпoлзвaн в peaлни aтaĸи, или най-малко няма такива данни все още.
ESET, която в началото документира Bootkitty посочи, че бууткитът е създаден от възпитаници от програмата за образование по киберсигурност Best of the Best (BoB) в Корея. Проектът има за цел да притегли вниманието към рисковете от уязвимостите на UEFI и да насърчи ограничения за предотвратяването им. Въпреки това разработчиците признаха, че някои мостри на бууткитове са били разкрити преди плануваното показване на конференцията.
LogoFAIL е набор от уязвимости, открити в кода за обработка на изображения на UEFI фърмуера. Тези уязвимости разрешават на атакуващия да инжектира злонамерени изображения или лога в систематичния дял EFI (ESP) и по този метод да превземе процеса на зареждане.
Действие на офанзивата Bootkitty Според Binarly злонамереният файл „ logofail.bmp “ съдържа шел код, вграден в края на изображението, а потреблението на негативна стойност на височината (0xfffffd00) води до накърнимост за запис отвън границите по време на обработката. Този механизъм разрешава на хакерите да подправят описи със документи, като по този метод оторизират зловредния буутлоудър „ bootkit.efi “.
Bootkitty може да засегне устройства, които не са били обновени, с цел да се защитят от LogoFAIL. Според откривателите най-уязвими са устройствата на Lenovo с модули Insyde във фърмуера. Въпреки това ESET допуска, че разработчикът тества зловредния програмен продукт върху личния си хардуер, а в бъдеще е допустима поддръжка на по-широк кръг от устройства.
Lenovo IdeaPad Pro 5-16IRH8, Lenovo Legion 7-16IAX7 и Lenovo Yoga 9-14IRP8 са измежду маркираните уязвими модели. Въпреки обстоятелството, че е предходна повече от година от идентифицирането на LogoFAIL, доста производители не са пуснали кръпки.
На потребителите на устройства без налични актуализации се предлага да лимитират физическия достъп, да задействат Secure Boot, да защитят с ключова дума настройките на UEFI/BIOS, да забранят зареждането от външни носители и да изтеглят актуализации на фърмуера извънредно от формалните уеб страници на производителите.
