» »

Številni računalniki z ranljivostjo v UEFI-ju

Številni računalniki z ranljivostjo v UEFI-ju

Slo-Tech - Skorajda vsi osebni računalniki, ki imajo Intelove ali AMD-jeve procesorje, imajo resno luknjo, ki omogoča okužbo sistema med zagonom in nadaljnji prevzem nadzora nad napravo. Ranljivost tiči v UEFI-ju, in sicer v delu kode, ki omogoča prikaz poljubne slike med začetno fazo zagona, zato so raziskovalci ranljivost poimenovali LogoFAIL. Prizadeti so sistemi, za katere je UEFI izdelal AMI, Insyde ali Phoenix, kar so praktično vsi sistemi, ne glede na sestavljavca (Lenovo, Dell, HP). Ti so večidel že izdali obvestila (advisory) in priporočajo nadgradnjo firmwara na ploščah oziroma UEFI-ja.

O napadu so raziskovalci podrobneje spregovorili na Black Hat Security Conference, ki je ta teden potekala v Londonu. Napad LogoFAIL je posledica več ranljivosti v sistemih, ki omogočajo izvedbo s podtaknjeno okuženo sliko. UEFI ima namreč možnost, da med zagonom prikaže logotip proizvajalca, denimo Lenovo. Del, ki skrbi za to možnost (image parser), pa ni posebej varen. Napadi med zagonom, in sicer med stadijem DXE (Driver Execution Environment), so posebej problematični, ker jih je zelo težko preprečiti, zaznati in odpraviti. Če v tej fazi zlonamerna koda pridobi nadzor nad sistemom, ima praktično neomejene privilegije. Za napad ni potreben fizični dostop do naprave.

Tovrstni napad lahko obide tudi različne mehanizme za varni zagon, denimo Intel Boot Guard, AMD Hardware-Validated Boot in ARM TrustZone Secure Boot. K sreči ni informacij, da bi se LogoFAIL že izrabljal. Prav tako so imune naprave, ki uporabljajo alternativne načine zagona, denimo Maci, pametni telefoni in podobno. Prav tako so varne naprave, kjer ni možno spreminjati zagonskega logotipa ali je dostop kako drugače kontroliran, denimo v številnih Dellovih računalnikih (ne pa vseh). Za zdaj druge rešitve kot vklop čim več varnostnih funkcij v UEFI in njegova posodobitev ni na vidiku.

30 komentarjev

tony1 ::

"(...) ki omogoča okužbo sistema med zagonom in nadaljnji prevzem nadzora nad napravo."

Zaboga, dajte še napisati, če exploit zahteva lokalni (fizični?) dostop. Vikend je, novico preberem šele v pon. :-)

Gregor P ::

UEFI ima namreč možnost, da med zagonom prikaže logotip proizvajalca, denimo Lenovo.
... ker res ne moremo imeti računalnike, ki ti ne bi prikazali logotipa proizvajalca ;((
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).

suzu ::

Gregor P je izjavil:

UEFI ima namreč možnost, da med zagonom prikaže logotip proizvajalca, denimo Lenovo.
... ker res ne moremo imeti računalnike, ki ti ne bi prikazali logotipa proizvajalca ;((

... eli EFIja na splošno. Zmedena overdizajnirana jajca, ki omogočajo, da se z osnovnimi nastavitvami računalnika igrajo na pol pečeni javascriptaši. Imam raje klasičen ascii vmesnik in da vem, da je avtor vedel kaj počne.... vsaj pribljižno. EFI je pribljižno tako, kot bi Electron zapakiral v Linux kernel, da bo lažje, saj JS vm je pa tako ali tako varen(tm). Pa ni 2x za reči, da nek idiot ravno v tem trenutku ne dela na tem. Rust je samo prvi tlakovec pri dobrih namerah na poti v pekel.

Pa saj ne, da bi bilo kaj tako hudega, JS vm zapakirati v kernel. To je še najmanj boleče, težave pridejo, ko bojo pol pečeni javascriptaši začeli pisati kodo zanj. systemd in pulseaudio sta tu zgolj zlonamerna insinuacija.

Zgodovina sprememb…

  • spremenilo: suzu ()

zugl ::

> klasičen ascii vmesnik
lol, kaj pa naj bi to pomenilo?

mtosev ::

Tekst based?
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

zugl ::

Že že, ampak kako se UEFI in ASCII kakorkoli izključujeta?

ikeman ::

bolano

GupeM ::

zugl je izjavil:

Že že, ampak kako se UEFI in ASCII kakorkoli izključujeta?

Nekateri pač ne ločijo med GUI-jem in backendom. Tudi pizdakanje čez systemd in Rust kažeta na omejenost komentatorja. Pa primerjava EFI-ja in electrona je podobna, kot bi primerjal avtomobile z asfaltom. Tako kot se efi in electron uporabljata v računalništvu, se avtomobili in asfalt uporabljajo pri transportu. Potem se pa skupne točke končajo.

slitkx ::

Gregor P je izjavil:

UEFI ima namreč možnost, da med zagonom prikaže logotip proizvajalca, denimo Lenovo.
... ker res ne moremo imeti računalnike, ki ti ne bi prikazali logotipa proizvajalca ;((

Koliko ljudi (%) se spravi urejati napredne nastavitve?

_Denny_ ::

Na računalniškem forumu bi pričakoval, da vsaj 95% oz. kar vsi. Sam izklapljam to zase in tudi vsem ostalim, ki mi prinesejo kaj v popravilo že dlje kot UEFI sploh obstaja (20+ let, najstarejša plošča je bila ena od QDI z i810 chipsetom...se še spomnim tiste grde bele slike z medaljo). To skrivanje boot procesa ter vseh številk pod neko sliko ali logotipom je zame ista bedarija, kot da bi si v avtu števec nadomestil z diodo in napisom "voziš prehitro". Nekatere stvari je potrebno videti, čeravno se komu ne sanja kaj točno pomenijo.

No ja, od zdaj naprej ne bo stvar samo grda in nepotrebna, pač pa tudi škodljiva, ker ne-računalničarji tudi ne upgradajo BIOSa :))
Asrock X670E Taichi, Ryzen 9 7950X3D + NH-D14, 96GB Corsair DDR5-6400 CL32
RTX 2070S 8GB, 2TB Kingston KC3000, 2TB ADATA SX8200 Pro, 4TB Micron 5200
Seasonic Focus Plus 850W, Corsair Air 540, Logitech Z-2300, Samsung UE65H6400

LightBit ::

Kakšna bedarija zaradi ene slike ki se pokaže za tako kratek čas da jo še vidiš ne.

suzu ::

zugl je izjavil:

Že že, ampak kako se UEFI in ASCII kakorkoli izključujeta?

To, da picajzliš na nepomembnostih, ne pomeni, da si kaj bolj pameten. Ali, da imam jaz kaj narobe. Sem pa očitno dovolj dobro napisal, da točno veš za kaj se gre, se pravi je komunikacija in izbira besed pravilna. Enako velja za GlupetaM, da ne ponavljam dvakrat enako dvema, ki se neumna delata.

_Denny_ je izjavil:

Nekatere stvari je potrebno videti, čeravno se komu ne sanja kaj točno pomenijo.


Ja, ampak potem ni tako lepo. Skupaj z roza ohišjem ne prinese enake dodane vrednost. /s Naslednja zmaga v razvoju računalnikov bo, ko bo iz telefona boot lahko streamal tvoj najbolj priljubljen selfie in bo na tem obstal. Do sistema sploh ne bo prišel. In mase bojo lahko občudovale svojo lepoto, zakaj bi kdo rabil os.

Zgodovina sprememb…

  • spremenilo: suzu ()

Zimonem ::

Nečem kaj ima s tem rust? Naj se razpiše ta tvoj širni intelekt katerega poseduješ.

MrStein ::

LightBit je izjavil:

Kakšna bedarija zaradi ene slike ki se pokaže za tako kratek čas da jo še vidiš ne.

Kaže se ves čas nalaganja OS-a.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

LightBit ::

MrStein je izjavil:

LightBit je izjavil:

Kakšna bedarija zaradi ene slike ki se pokaže za tako kratek čas da jo še vidiš ne.

Kaže se ves čas nalaganja OS-a.

Potem mora biti to nekaj drugega. Zakaj potem OS ne pokaže te slike?

zugl ::

_Denny_ je izjavil:

Na računalniškem forumu bi pričakoval, da vsaj 95% oz. kar vsi. Sam izklapljam to zase in tudi vsem ostalim, ki mi prinesejo kaj v popravilo že dlje kot UEFI sploh obstaja (20+ let, najstarejša plošča je bila ena od QDI z i810 chipsetom...se še spomnim tiste grde bele slike z medaljo). To skrivanje boot procesa ter vseh številk pod neko sliko ali logotipom je zame ista bedarija, kot da bi si v avtu števec nadomestil z diodo in napisom "voziš prehitro". Nekatere stvari je potrebno videti, čeravno se komu ne sanja kaj točno pomenijo.

No ja, od zdaj naprej ne bo stvar samo grda in nepotrebna, pač pa tudi škodljiva, ker ne-računalničarji tudi ne upgradajo BIOSa :))

Katere informacije pa zdaj vidiš namesto logotipa?

suzu je izjavil:

zugl je izjavil:

Že že, ampak kako se UEFI in ASCII kakorkoli izključujeta?

To, da picajzliš na nepomembnostih, ne pomeni, da si kaj bolj pameten. Ali, da imam jaz kaj narobe. Sem pa očitno dovolj dobro napisal, da točno veš za kaj se gre, se pravi je komunikacija in izbira besed pravilna. Enako velja za GlupetaM, da ne ponavljam dvakrat enako dvema, ki se neumna delata.

_Denny_ je izjavil:

Nekatere stvari je potrebno videti, čeravno se komu ne sanja kaj točno pomenijo.


Ja, ampak potem ni tako lepo. Skupaj z roza ohišjem ne prinese enake dodane vrednost. /s Naslednja zmaga v razvoju računalnikov bo, ko bo iz telefona boot lahko streamal tvoj najbolj priljubljen selfie in bo na tem obstal. Do sistema sploh ne bo prišel. In mase bojo lahko občudovale svojo lepoto, zakaj bi kdo rabil os.

> To, da picajzliš na nepomembnostih, ne pomeni, da si kaj bolj pameten.
A ni to precej hipokritsko? Ti si začel s "picajzljenjem na nepomembnosti", ko si se na lepem odločil, da je UEFI slab, in da si ti nek blazen power-user, ker veš, da obstaja ameriški standard za zapis črk. Dobil sem pač občutek, da povsem neutemeljeno zagovarjaš stare stvari. Obstaja precejšna možnost, da brez Unicodea ne bi mogel zapisati svojega imena in priimka (če pa ne tvojega, pa od kolegov), ti pa si povsem zadovoljen z ameriškim standardom za zapis ameriških črk iz prejšnjega tisočletja.
V bistvu samo trollam. Upam, da ti tudi. Zato pa so ST komentarji, kajne? (:

_Denny_ ::

zugl je izjavil:

_Denny_ je izjavil:

Na računalniškem forumu bi pričakoval, da vsaj 95% oz. kar vsi. Sam izklapljam to zase in tudi vsem ostalim, ki mi prinesejo kaj v popravilo že dlje kot UEFI sploh obstaja (20+ let, najstarejša plošča je bila ena od QDI z i810 chipsetom...se še spomnim tiste grde bele slike z medaljo). To skrivanje boot procesa ter vseh številk pod neko sliko ali logotipom je zame ista bedarija, kot da bi si v avtu števec nadomestil z diodo in napisom "voziš prehitro". Nekatere stvari je potrebno videti, čeravno se komu ne sanja kaj točno pomenijo.

No ja, od zdaj naprej ne bo stvar samo grda in nepotrebna, pač pa tudi škodljiva, ker ne-računalničarji tudi ne upgradajo BIOSa :))

Katere informacije pa zdaj vidiš namesto logotipa?

Slike z Googla, ker mi ni zdaj do reboota:

Iz tega takoj brez "obiska" BIOSa vidiš, če ti je odletel kak disk ali ram modul oz. če sta hitrost rama in CPU-ja pravi. Dosti bolj uporabno od logotipa s "Press DEL or F2 to enter UEFI" tekstom.
Asrock X670E Taichi, Ryzen 9 7950X3D + NH-D14, 96GB Corsair DDR5-6400 CL32
RTX 2070S 8GB, 2TB Kingston KC3000, 2TB ADATA SX8200 Pro, 4TB Micron 5200
Seasonic Focus Plus 850W, Corsair Air 540, Logitech Z-2300, Samsung UE65H6400

DamijanD ::

Jaz tudi raje vidim "normalni bios" post, kot pa samo eno sliko, kar nič ne pove...

Lonsarg ::

Sam da ne bo dileme, UEFI kot standard je res fajn zadeva in nima nič s tem da so implementacije preveč bloated in ponujajo kako funkcionalnost preveč. Ja tudi funkcionalnost zamenjave boot screena je morda ena funkcija preveč in več funkcij poveča šanse za dogodke iz te novice.

AMPAK vseeno ni prava pot da gremo nazaj v jame živet (ja lahko se kako funkcijo sem pa tja oklesti ne moreš pa to masovno ker pol pristaneš v jami), pač pa je prava pot bolj secure implementacije. Parsanje slike je precej osnovna zadeva in če tega niso zmožni implementatorji narediti na secure način morajo razmislit o arhitekturi UEFI kode in procesu razvoja kode.

Prva stvar ki jo morajo spremeniti je da vso low-level kodo vezano na UEFI napisano v jezikih kot je C IZBRIŠEJO in gredo na Rust, s tem bo takoj attack surface faktor 10 nižji. Ja LogoFAIL exploit je direktna posledica ne-varne C kode.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

zugl ::

_Denny_ je izjavil:

zugl je izjavil:

_Denny_ je izjavil:

Na računalniškem forumu bi pričakoval, da vsaj 95% oz. kar vsi. Sam izklapljam to zase in tudi vsem ostalim, ki mi prinesejo kaj v popravilo že dlje kot UEFI sploh obstaja (20+ let, najstarejša plošča je bila ena od QDI z i810 chipsetom...se še spomnim tiste grde bele slike z medaljo). To skrivanje boot procesa ter vseh številk pod neko sliko ali logotipom je zame ista bedarija, kot da bi si v avtu števec nadomestil z diodo in napisom "voziš prehitro". Nekatere stvari je potrebno videti, čeravno se komu ne sanja kaj točno pomenijo.

No ja, od zdaj naprej ne bo stvar samo grda in nepotrebna, pač pa tudi škodljiva, ker ne-računalničarji tudi ne upgradajo BIOSa :))

Katere informacije pa zdaj vidiš namesto logotipa?

Slike z Googla, ker mi ni zdaj do reboota:

Iz tega takoj brez "obiska" BIOSa vidiš, če ti je odletel kak disk ali ram modul oz. če sta hitrost rama in CPU-ja pravi. Dosti bolj uporabno od logotipa s "Press DEL or F2 to enter UEFI" tekstom.

Ojej, grozno, da logo skrije te podatke ... Precej neumno, se strinjam. Podobno kot "quiet" kernel parameter, ki ga veliko linux distribucij privzeto nastavi, da ne vidiš kernel sporočil in sysloga v konzoli ned bootom.

GupeM ::

Lonsarg je izjavil:


Prva stvar ki jo morajo spremeniti je da vso low-level kodo vezano na UEFI napisano v jezikih kot je C IZBRIŠEJO in gredo na Rust, s tem bo takoj attack surface faktor 10 nižji.

A si nor? Suzu pravi, da Rust pomeni pokop računalništva. Ne samo računalništva. Še cel kup drugih stvari bo crknilo.

LightBit ::

zugl je izjavil:

_Denny_ je izjavil:

zugl je izjavil:

_Denny_ je izjavil:

Na računalniškem forumu bi pričakoval, da vsaj 95% oz. kar vsi. Sam izklapljam to zase in tudi vsem ostalim, ki mi prinesejo kaj v popravilo že dlje kot UEFI sploh obstaja (20+ let, najstarejša plošča je bila ena od QDI z i810 chipsetom...se še spomnim tiste grde bele slike z medaljo). To skrivanje boot procesa ter vseh številk pod neko sliko ali logotipom je zame ista bedarija, kot da bi si v avtu števec nadomestil z diodo in napisom "voziš prehitro". Nekatere stvari je potrebno videti, čeravno se komu ne sanja kaj točno pomenijo.

No ja, od zdaj naprej ne bo stvar samo grda in nepotrebna, pač pa tudi škodljiva, ker ne-računalničarji tudi ne upgradajo BIOSa :))

Katere informacije pa zdaj vidiš namesto logotipa?

Slike z Googla, ker mi ni zdaj do reboota:

Iz tega takoj brez "obiska" BIOSa vidiš, če ti je odletel kak disk ali ram modul oz. če sta hitrost rama in CPU-ja pravi. Dosti bolj uporabno od logotipa s "Press DEL or F2 to enter UEFI" tekstom.

Ojej, grozno, da logo skrije te podatke ... Precej neumno, se strinjam. Podobno kot "quiet" kernel parameter, ki ga veliko linux distribucij privzeto nastavi, da ne vidiš kernel sporočil in sysloga v konzoli ned bootom.

"quiet" je načeloma ok, ker še vedno izpiše kar je pomembno. Plymouth mi gre pa res na živce.

OK.d ::

LPOK.d

zugl ::

OK.d je izjavil:

https://www.techadvisor.com/article/725...

A morm updejtat? A lahko nekdo napade moj računalnik, če nima root dostopa (recimo lokalen nepriviligiran uporabnik)?

Buffer overflow v logo png parsing funkciji po mojem niti ni tako nevaren. Sliko lahko itak naloži samo administrator.

Zgodovina sprememb…

  • spremenilo: zugl ()

Lonsarg ::

Gre za local vdor ali pa za eskalacijo remote vdora, torej če nekdo že remote vdre v računalnik lahko preko tega eksploita vdor "eskalira" do low level firmwera.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

zugl ::

Aha, brezveze torej po mojem. Če ima nekdo možnost zamenjati logo, ima tudi možnost zamenjati firmware.

Zgodovina sprememb…

  • spremenilo: zugl ()

win64 ::

zugl je izjavil:

Aha, brezveze torej po mojem. Če ima nekdo možnost zamenjati logo, ima tudi možnost zamenjati firmware.

Firmware mora biti podpisan, za logotip pa to ne velja.

johnnyyy ::

Kaj je potem najbolj enostavna rešitev? Disable logotipa?

zugl ::

win64 je izjavil:

zugl je izjavil:

Aha, brezveze torej po mojem. Če ima nekdo možnost zamenjati logo, ima tudi možnost zamenjati firmware.

Firmware mora biti podpisan, za logotip pa to ne velja.

To je po mojem slabo. Firmware bi se moralo dat zamenjat, v duhu prostega programja. Če bi se ga dalo lažje zamenjat, bi prej ali slej nastale odprtokodne impmentacije, ki bi za parsanje PNGjev uporabljale odprtokodne in preverjene knjižnice. In nemara bi se našel še kak projekt v opevanem Rustu.
Ampak ne, mi štejemo kot varnostno pomanjkljivost, če lastnik računalnika lahko na njem izvaja poljubno kodo.

Zimonem ::

Pa saj to je bolj plugin za osnovni uefi. mora pa to storit proizvajalec.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Številni računalniki z ranljivostjo v UEFI-ju

Oddelek: Novice / Varnost
306421 (3719) Zimonem
!

[WINDOWS 8] Vprašanja in težave (strani: 1 2 3 427 28 29 30 )

Oddelek: Operacijski sistemi
1490441825 (7506) jedateruk
»

Za vstop v Linux zadostuje 70 sekund

Oddelek: Novice / Varnost
259209 (6010) Spiky28
»

Stranska vrata v Microsoftov Secure Boot so se odprla

Oddelek: Novice / Varnost
117108 (5356) johnnyyy
»

Nam bosta UEFI varnostni zagon in Microsoft preprečila poganjanje alternativnih opera (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
20251582 (42645) Icematxyz

Več podobnih tem