Številni računalniki z ranljivostjo v UEFI-ju
Matej Huš
8. dec 2023 ob 18:09:23
Skorajda vsi osebni računalniki, ki imajo Intelove ali AMD-jeve procesorje, imajo resno luknjo, ki omogoča okužbo sistema med zagonom in nadaljnji prevzem nadzora nad napravo. Ranljivost tiči v UEFI-ju, in sicer v delu kode, ki omogoča prikaz poljubne slike med začetno fazo zagona, zato so raziskovalci ranljivost poimenovali LogoFAIL. Prizadeti so sistemi, za katere je UEFI izdelal AMI, Insyde ali Phoenix, kar so praktično vsi sistemi, ne glede na sestavljavca (Lenovo, Dell, HP). Ti so večidel že izdali obvestila (advisory) in priporočajo nadgradnjo firmwara na ploščah oziroma UEFI-ja.
O napadu so raziskovalci podrobneje spregovorili na Black Hat Security Conference, ki je ta teden potekala v Londonu. Napad LogoFAIL je posledica več ranljivosti v sistemih, ki omogočajo izvedbo s podtaknjeno okuženo sliko. UEFI ima namreč možnost, da med zagonom prikaže logotip proizvajalca, denimo Lenovo. Del, ki skrbi za to možnost (image parser), pa ni posebej varen. Napadi med zagonom, in sicer med stadijem DXE (Driver Execution Environment), so posebej problematični, ker jih je zelo težko preprečiti, zaznati in odpraviti. Če v tej fazi zlonamerna koda pridobi nadzor nad sistemom, ima praktično neomejene privilegije. Za napad ni potreben fizični dostop do naprave.
Tovrstni napad lahko obide tudi različne mehanizme za varni zagon, denimo Intel Boot Guard, AMD Hardware-Validated Boot in ARM TrustZone Secure Boot. K sreči ni informacij, da bi se LogoFAIL že izrabljal. Prav tako so imune naprave, ki uporabljajo alternativne načine zagona, denimo Maci, pametni telefoni in podobno. Prav tako so varne naprave, kjer ni možno spreminjati zagonskega logotipa ali je dostop kako drugače kontroliran, denimo v številnih Dellovih računalnikih (ne pa vseh). Za zdaj druge rešitve kot vklop čim več varnostnih funkcij v UEFI in njegova posodobitev ni na vidiku.