Lỗ hổng LogoFAIL có thể ảnh hưởng đến phần lớn các máy tính

16:00 | 18/12/2023 | LỖ HỔNG ATTT
Các nhà nghiên cứu từ công ty bảo mật chuỗi cung ứng Binarly cho biết lỗ hổng firmware có tên gọi là LogoFAIL có thể ảnh hưởng đến 95% máy tính, cho phép tin tặc vượt qua cơ chế bảo vệ Secure Boot và thực thi phần mềm độc hại trong quá trình khởi động. Các lỗ hổng xuất phát từ trình phân tích cú pháp hình ảnh được sử dụng trong firmware hệ thống UEFI để tải hình ảnh logo trên màn hình khởi động.

“Hàng trăm thiết bị tiêu dùng và doanh nghiệp từ nhiều nhà cung cấp khác nhau, bao gồm Intel, Acer và Lenovo có khả năng bị tấn công”, Binarly đưa ra cảnh báo. Lỗ hổng LogoFAIL lần đầu tiên được tiết lộ trong một bài đăng vào ngày 29/11/2023 và các chi tiết kỹ thuật đã được công bố vào ngày 6/12 sau khi Binarly trình bày những phát hiện của mình tại sự kiện Black Hat Europe 2023.

LogoFAIL là một tập hợp các lỗ hổng firmware trong thư viện phân tích hình ảnh được sử dụng để tải logo trong quá trình khởi động thiết bị. Việc khai thác LogoFAIL yêu cầu kẻ tấn công phải có quyền truy cập vào phân vùng hệ thống EFI (ESP) nơi lưu trữ hình ảnh logo, tức là tin tặc đã có được quyền truy cập từ xa bằng cách khai thác các lỗi khác hoặc có quyền truy cập vật lý vào thiết bị.  

Việc thay đổi hoặc thay thế hình ảnh logo bằng payload độc hại sẽ khiến phần mềm độc hại được lây nhiễm và thực thi tùy ý khi hình ảnh được phân tích cú pháp trong quá trình khởi động. Quá trình phân tích hình ảnh này diễn ra khá nhanh để các cơ chế bảo mật như Secure Boot và Intel Boot Guard có thể phát hiện được mã độc.

Các nhà nghiên cứu của Binarly cho biết: “Vectơ tấn công này có thể mang lại lợi thế cho kẻ tấn công trong việc vượt qua hầu hết các giải pháp bảo mật điểm cuối và cung cấp bootkit (loại rootkit có khả năng can thiệp và thay đổi quá trình khởi động của hệ điều hành, nhằm mục đích chèn các thành phần mã độc của nó vào hệ thống một cách lén lút) tồn tại lâu dài trong phân vùng ESP hoặc firmware có hình ảnh logo đã được sửa đổi”.

Bề mặt tấn công của LogoFAIL là rất lớn do ba nhà cung cấp BIOS độc lập là AMI, Insyde và Phoenix sử dụng rộng rãi các trình phân tích cú pháp hình ảnh bị ảnh hưởng. Các nhà cung cấp này cung cấp firmware hệ thống UEFI cho hàng chục nhà sản xuất thiết bị lớn, bao gồm Acer, Intel và Lenovo, sau đó họ kết hợp firmware vào hàng trăm mẫu thiết bị.

Giám đốc điều hành Binarly, ông Alex Matrosov ước tính 95% thiết bị sử dụng phần mềm UEFI từ một trong những nhà cung cấp BIOS bị ảnh hưởng. Tuy nhiên, các nhà nghiên cứu của Binarly cho biết, không phải tất cả các thiết bị có lỗi phân tích cú pháp hình ảnh đều có thể được coi là thực sự “có thể bị khai thác”. Ví dụ, trong khi các thiết bị Dell được các nhà nghiên cứu kiểm tra, có tổng cộng 526 trình phân tích cú pháp bị lỗi, các lỗ hổng này không thể được sử dụng để thực thi mã độc vì máy tính Dell không cho phép thay đổi hình ảnh logo khởi động.

Mặc dù hiện vẫn chưa thể tổng hợp danh sách đầy đủ các mẫu thiết bị bị ảnh hưởng nhưng Binaryly cho biết đã báo cáo các lỗ hổng này cho các nhà cung cấp BIOS cũng như các nhà cung cấp thiết bị lớn nhiều tháng trước khi tiết lộ chi tiết về LogoFAIL. Người dùng sẽ cần đảm bảo firmware trên máy tính của họ được cập nhật bảo mật để bảo vệ tránh bị khai thác LogoFAI.

Tuấn Hưng

(SCmagazine)

Tin cùng chuyên mục

Tin mới