Ürün yazılımı tedarik zincirinin güvenliğini sağlama konusunda uzmanlaşmış bir şirket olan Binarly REsearch’teki ekip, şunu keşfetti: LogoFAIL adı verilen bir güvenlik açıkları kümesi kim saklanıyor Birleşik Genişletilebilir Ürün Yazılımı Arayüzleri (UEFI) hemen hemen tüm modern bilgi işlem cihazlarını başlatmak için kullanıyoruz. Linux ya da Windows, ARM ya da x86 fark etmez, hepsi savunmasızdır.
Bu tehdit sistemlerde yıllardır, hatta onlarca yıldır mevcuttur. Bunu özellikle endişe verici kılan şey, etkilenen tüketici ve iş bilgisayarlarının geniş yelpazesidir. LogoFAIL’in özü, UEFI hala çalışırken, önyükleme işlemi sırasında cihaz ekranında görüntülenen logoların kullanılmasıdır.
Bu istismar, önyükleme işleminin ilk aşamalarında gerçekleşir; dolayısıyla saldırılar, aşağıdaki gibi UEFI savunmalarını atlar: Microsoft Güvenli Önyükleme Ve Intel Güvenli Önyüklemehangisi olduğu sanılıyor Bootkit enfeksiyonlarını engelle. Bu teknik çok kötü bir haber.
Saldırı özellikle UEFI görüntü ayrıştırıcılarından yararlanıyor. Önyükleme görüntüsü logolarını görünür hale getiren programlar var. Bu yazılım, AMI, Insyde ve Phoenix gibi büyük bağımsız BIOS satıcıları (IBV’ler) tarafından UEFI’ye dahil edilmiştir.
UEFI ürün yazılımı, BMP, GIF, JPEG, PCX ve TGA dahil olmak üzere çeşitli formatlarda görüntü ayrıştırıcılar içerebilir. Binarly ekibi toplamda 29 güvenlik sorunu buldu; bunların 15’i keyfi kod yürütme için kullanılabilir.
Kısacası, bu UEFI görüntü ayrıştırıcılarının bakımı yetersizdir ve kritik güvenlik açıklarıyla doludur. Saldırganlar, meşru logo görsellerini, hatalardan yararlanmak için özel olarak tasarlanmış aynı görsellerle değiştirebilir. Bu teknik, kötü amaçlı kodun çalıştırılmasına izin verir. Sürücü Yürütme Ortamı (DXE) aşaması, başlangıç sürecinin çok hassas bir parçası. Bu saldırı, işletim sistemi başlatılmadan önce gerçekleşir.
Binarly araştırmacılarının belirttiği gibi: “DXE aşamasında rastgele kod çalıştırıldığında platformun güvenliği tehlikeye girer.” Bu noktadan itibaren saldırganlar, “önyüklenecek işletim sistemi de dahil olmak üzere hedef cihazın hafızası ve diski üzerinde tam kontrole sahip.”
Böylece, DXE aşamasında rastgele kod çalıştırıldığında saldırgan, önyüklenecek işletim sistemi de dahil olmak üzere hedef cihazın belleği ve diski üzerinde tam kontrol sahibi olur. Böylece LogoFAIL, ana işletim sistemi başlamadan önce çalıştırılabilir bir dosyayı sabit sürücüye bırakan bir veri yükü sağlayabilir. Bu erişim düzeyi, enfeksiyonun mevcut savunma mekanizmalarını kullanarak tespit edilmesini veya kaldırılmasını neredeyse imkansız hale getirir.
Güvenlik açıkları Londra’daki Black Hat güvenlik konferansında ortaya çıktı ve etkilenen taraflar, hangi ürünlerinin savunmasız olduğunu ve güvenlik yamalarını nereden edinebileceklerini belirten tavsiyeler yayınlıyor. LogoFAIL’in etkisi, UEFI satıcıları, Lenovo ve HP gibi cihaz üreticileri ve Intel, AMD ve ARM işlemci tasarımcıları gibi işlemci üreticileri de dahil olmak üzere neredeyse tüm x64 ve ARM işlemci ekosistemini etkilediği için açıkça görülüyor.
Peki bu saldırı neden bu kadar sorun? Kim bilgisayarının başlangıç logosunu değiştirmek ister? Güvenlik uzmanı Bruce Schneier’e göre etkilenenler şirketler: “Şirketler kendi logolarını sergileyebilmek istiyor. Dolayısıyla bu yeteneğin BIOS’ta olması gerekir; bu, güvenlik açıklarının işletim sisteminin savunması tarafından korunmadığı anlamına gelir. BIOS tasarımcıları da muhtemelen internetten rastgele bir grafik kütüphanesi aldılar ve bunun üzerine bir daha hiç düşünmediler.”
UEFI kullanmayan Mac’ler, akıllı telefonlar ve diğer cihazlar bu saldırıya açık değildir. Önyükleme için UEFI kullanan Intel Apple Mac’ler bile LogoFAIL tarafından saldırıya uğrayamaz. Bu koruma, Apple’ın logo resim dosyalarını UEFI’ye sabit kodlamış olmasından ve bunları kötü amaçlı bir kopyayla değiştirmenin imkansız olmasından kaynaklanmaktadır.
Dell bilgisayarların çoğu da bu saldırıya açık değildir. Aslında şirket, görüntülerin değiştirilmesini imkansız hale getirmek için Intel Boot Guard’ı kullanıyor. Ayrıca Dell aygıtları genellikle logo görsellerinin düzenlenmesine izin vermez.
Savunmasız makineleriniz varsa, öncelikle kimsenin cihaza giremeyeceğinden emin olmalısınız. Bu koruma düzeyi, işletim sisteminizin ve programlarınızın bilinen tüm saldırılara karşı yamalanmasını içerir. Windows kullanıyorsanız antivirüs korumalarınızı güncelleyin. Bu programlar LogoFAIL’i durduramaz ancak sisteminize LogoFAIL yükleyecek kötü amaçlı yazılımları almanızı engelleyebilir.
İşin püf noktası saldırganları önlemektir EFI Sistem Bölümüne (ESP) erişmek için ilk başta. Logo görseli sabit sürücünüzün bu gizli kısmında saklanır. Saldırganlar ESP’ye erişemezse saldıramazlar.
Gerçek çözüm firmware’inizi güncellemektir. Düzeltmeler geliştiriliyor ARKADAŞ, Intel), İçeri, Anka kuşu Ve Lenova. Ancak bu ürünler henüz mevcut değil. Intel’in belirttiği gibi, “Bios güncellemeleri 2023’ün dördüncü çeyreğinin sonu ile 2024’ün ilk çeyreğinin başı arasında yayınlanacak.”
Elbette, kış tatillerini her zaman tüm makinelerimi güncelleyerek ve yeniden başlatarak geçirmek istedim – ve eminim siz de öyle.
Bu arada LogoFAIL saldırganının tutunabilmesi için sistemlerinizi mümkün olduğu kadar kilitleyin. Bir kez içeri girdiklerinde onları dışarı çıkaramayacağınız neredeyse kesindir.
Kaynak : “ZDNet.com“